ある日Pマーク担当になった人のために　第2回「プライバシーマーク審査の実態」

プライバシーマーク審査とは

プライバシーマーク審査とは、審査機関が2年に1回、個人情報保護体制や、個人情報の取り扱いの実態について調査し、問題のあるところがないかを確認するものになります。

その審査は、文書審査と現場審査に分かれており、認定の期限日から逆算して、8カ月前から更新申請が可能であり、4カ月前までが申請の期限となっています。

文書審査

まず文書審査は、申請時に提出した文書の審査になり、次の基準で審査されます。

この際に、文書だけでは読み取れない部分については、現場確認になります。

ところが、この審査は、チェック担当者のさじ加減で判断が分かれることが多く、前回の審査で認められたものが、審査基準は変わっていないのに、次の審査では認められない、といったことも頻繁に起こります。

そのため、明らかに文書を修正したほうが早いものを除いて、判断が難しいものは、次の現場審査まで持ち込むことが推奨です。

現場審査

文書審査の次に現場審査が来ます。

現場審査は、通常本社に審査が来ます。他の拠点を見ることはまずありません。

審査員は2～3名で来社し、原則としては個人情報保護管理者に対してインタビューをします。

ただし、審査の最初に事業者の代表者へのインタビューがあるので、必ず代表者をアサインするのを忘れないようにしましょう。

代表者のインタビューは、実態としては審査というよりも、業務概要の確認や、体制の確認が主であり、代表者への質問でNGが出ることはほとんどありません。

代表者へのインタビューのあと、個人情報保護管理者へのインタビューが始まります。

審査は大きく分けて体制面審査、個人情報の取り扱い状況の実態調査に分かれます。

現場審査～体制面審査

体制面の審査で確認するのは、次のポイントです。

• 個人情報保護方針
  
• 個人情報の特定、およびリスクの特定
  
• 個人情報の委託状況
  
• 個人情報の管理体制、役割
  
• 教育
  
• 内部監査
  
• 事業者の代表者による見直し

これらの審査上重視されるのは、実施の記録があるかというところです。

上記の項目はすべて、定期的に実施が求められるところであるため、何かしらの記録が発生していなければ運用されているとみなされなくなります。

それぞれの記録で必要となるものは次のものです。

次回は個人情報の取り扱い状況の実態調査についてお話しします。