Pマーク取得までの流れは?PMS構築から取得までの8つステップ
プライバシーマーク取得のためには、まず自社で個人情報保護マネジメントシステム (PMS)を構築し、それを運用してP(計画)D(実行)C(評価)A(改善)を回すことが求められます。
その後、申請書類の作成を開始して審査機関に提出、その後、書類審査、現地審査、現地審査で指摘事項があった場合にはその改善と報告を行い、晴れて認証の取得となります。
着手から取得までの期間は、短くても7~8カ月、1年くらい掛かるのが一般的です。本記事ではPマークの取得までの流れついて詳しく解説していきます。
Pマーク取得の流れ STEP1 個人情報保護方針の作成
プライバシーマーク取得の目的を明確にし、会社としての個人情報保護に対する基本姿勢を明らかにするものです。個人情報保護に当たる組織の役割、責任および権限を定める ことが求められます。
運営推進体制としては個人情報保護委員長、苦情・相談窓口責任者、内部監査責任者、個人情報保護管理者、教育・研修責任者、個人情報保護推進事務局、シス テム管理者の7名(7役)の選任が必要ですが、兼任が認められるものも多く、最低限個人情報保護管理者と内部監査責任者の2名の選任が必要になります。従業者が2名以上で なければ申請できないというのは、ここに理由があります。
Pマーク取得の流れ STEP 2 リスクアセスメントの実施
基本姿勢と推進体制をつくり上げたあとに 保護すべき個人情報の範囲を特定し、それぞれについてどのようなリスクがあるのかを分析します。自社の業務内容に則して、丁寧に一つひとつ拾い出していきます。
さらにそのリスクに対して、どのような対応策を取るのかを決定します。リスク対応に は、「低減」(リスク受容基準を満たすレベル にまで何らかの対策により低減する)、「受 容」(リスク受容基準を満たすものについて それ以上の対応を行わない)、「除去」(リス ク受容基準を満たさないリスクそのものをなくす)、「転嫁」(同じく、リスクを自社以外の組織に移す)といった選択肢があり、個別 のリスクの内容に合わせて明確にします。
Pマーク取得の流れ STEP3 目的達成のためのアクションプラン作成
策定したリスク対応策について、それを実施するためのアクションプランをつくります。具体的には実施事項、実施に必要な資源、責任者、達成期限、結果の評価方法に関し て、実際の手順レベルにまで具体化した詳細なマニュアルを作成します。これがPMSの核となります。
見落としがちですが、個人情報の 「物理的な安全管理措置」 についても確実に講じることが必要です。
物理的な安全管理措置とは、個人情報の漏えいを防止するために事業を行う物理的な領 域における管理対策を講じることです。一般の人の目に触れる場所に個人情報を表示しない、といったことがその内容です。
Pマーク取得の流れ STEP4 パフォーマンス評価と内部監査、マネジメントレビューの実施
PMSを導入し運用しながらそれが適切に行われ、有効性を発揮しているかどうか、そのパフォーマンスを評価します。個人情報保護の達成状況、リスク対応計画の実施状況、 教育・訓練の実施状況などの評価を行い、内部監査員による内部監査を実施し監査報告書 をまとめます。この内部監査を適正かつ公平に行うことも、社内規定づくりと並んで、申請前に行うPDCAの重要なポイントの一つです。
さらにこの監査報告書に基づき事業者の代表者によるマネジメントレビューを実施し、 改善指示書を作成、次のサイクルにつなげていきます。
Pマーク取得の流れ STEP5 PMSの改善
実際の運用を通じて明らかになったPMSの不適合に対しては、認証の基準に則り、実 際の運用に合わせた是正処置および継続的な改善処置の決定を行い、実施します。その実施についても、有効性の評価を行い、必要に応じてPMSの変更を行います。
Pマーク取得の流れ STEP6 申請書類の作成と申請
ここまでで、PMSの策定から運用・評価・改善というPDCAの1サイクルが終了したことになります。この時点でようやく申請用書類の準備となります。
申請書類は非常に多く、プライバシーマーク付与適格性審査申請書をはじめ事業者概要、個人情報を取り扱う業務の概要、すべての事業所の所在地および業務内容、個人情報 保護体制、個人情報保護マネジメントシステム文書の一覧、JIS Q 15001との対 応表、教育実施サマリー、内部監査実施サマリー、マネジメントレビュー(事業者の代表者による見直し)実施サマリー、最新の個人情報保護マネジメントシステム文書一式の写 し、個人情報を特定した台帳の運用記録、リスク分析結果の写しなど、全部で23種類あります。これらをすべてそろえて審査機関に申請します。
申請は、業界別の「プライバシーマーク指定審査機関」が決められている事業者はそこに、それ以外の事業者はJIPDECに行います。また地域区分に基づいて申請を受け付ける審査機関もあり、そこを通じて申請することもできます。
提出した書類については必要なものがすべてそろっているかどうか、記入に漏れがないかという形式審査が行われ、不備があれば、追加や訂正が求められます。
そのうえで審査機関は受理した書類の内容がJIS Q 15001に準拠したものになっているのかどうか、さらに文書化されたルールの内容、運用の実績などを一つひとつ確認していきます。その過程で要求事項に合致していないところがあれば、その点を申請者に指摘、それについては現地審査までに改善するように求めます。
Pマーク取得の流れ STEP7 現地審査
現地審査では個人情報保護マネジメントシステム(PMS)のとおりに体制が整備され、運用されているかなどについて確認します。プライバシーマーク付与に関する手続きで、最も重要となる工程です。2名の審査員が事業所を訪ね、半日から1日掛かりで調査を行います。
まず、事業者の代表へのインタビューが行われます。主な項目は事業内容や経営方針、個人情報に関する事故の有無、申請動機や個人情報保護の目的、個人情報保護方針や体 制、PMSの継続的な改善方針などです。
さらにPMS運用状況について、個人情報を取り扱う業務ごとに個人情報の特定やリスクアセスメント、リスク対策および安全管理措置等の状況確認が行われます。また従業者 の教育や内部監査などのPMS運用状況も確認します。
現場審査では、実施状況の確認が重視され、実際に個人情報を取り扱っている執務室や作業場で事業者が講じている安全管理措置を確認します。この審査は現場の状況により非 常に詳細なものになることもあります。
また現地調査では管理者が常駐していない支店や営業所などについても、社内の規定やルールの周知、徹底ができているかどうかというチェックが行われます。取り扱う個人情報の量は、本社が最大とは限りません。むしろ支店や営業所のほうが、より多くの情報を 管理している場合があります。調査員はそれらも踏まえたうえで、現地調査を行います。
Pマーク取得の流れ STEP8 現地審査指摘事項対応
調査終了後は、審査員からPMS運用において改善が必要であると判断された事項(指摘事項)などについて確認と説明が行われます。
なお、プライバシーマークの審査員は「プライバシーマーク付与適格性の審査を実施するために必要な知識及び技能を有すると認められ、プライバシーマーク指定審査員登録機関であるJIPDECに登録されている方」のことをいいます。
主任審査員、審査員、審 査員補の3種類に分かれていますが、プライバシーマーク指定研修機関が実施する研修を修了し、所定の修了試験に合格し、審査の経験を積んでJIPDECから認定されて業務 についています。
現地審査で改善に関する指摘事項がある場合は、現地審査後にその内容が記された文書 が送付されるので、文書に記載の日付から3カ月以内に改善報告書を改善のエビデンスを添えて提出することが必要です。その報告書で改善が認められればプライバシーマークの付与が行われます。もし3カ月を過ぎて指摘事項の改善が審査機関において確認できなければ、申請からやり直さなければなりません。いわゆる「認定不合格」がこれに当たります。
関連記事
監修者紹介
仲手川 啓/Nakategawa Kei
株式会社ユーピーエフ代表取締役
Pマーク(プライバシーマーク)、ISMS(ISO27001)の新規取得や更新通過支援を累計2500社以上の支援実績を有する情報セキュリティーコンサルティング会社代表。(※2022年10月現在)
独自の最新の進行管理ツールや低価格での支援スタイルから口コミ、紹介での取引開始を中心に、IT・人材系ビジネスのスタートアップから大企業まで幅広い層からの支持を集め現在業界トップシェア。
同社は「経営者がおすすめのPマークコンサル会社部門1位」、「Pマーク取得コンサルアフターフォーロー満足度部門1位」、「医療関係者に最も選ばれるPマークコンサル会社部門1位」、「上場企業従事者に最も選ばれるPマークコンサル部門1位」を受賞している。(※調査企画:日本マーケティングリサーチ機構)