ある日Pマーク担当になった人のために 第2回「プライバシーマーク審査の実態」

2016/04/20
Pマーク審査の実態のイメージ画像

読者の皆様こんにちは。前回は個人情報保護の基本を開設させていただきました。

今回は審査を受ける際のポイントについて解説しようと思います。

そもそも、プライバシーマークの審査とはどのようなものなのでしょうか。

 

プライバシーマーク審査とは

プライバシーマーク審査とは、審査機関が2年に1回、個人情報保護体制や、個人情報の取り扱いの実態について調査し、問題のあるところがないかを確認するものになります。

その審査は、文書審査と現場審査に分かれており、認定の期限日から逆算して、8カ月前から更新申請が可能であり、4カ月前までが申請の期限となっています。

 

文書審査

まず文書審査は、申請時に提出した文書の審査になり、次の基準で審査されます。

この際に、文書だけでは読み取れない部分については、現場確認になります。

ところが、この審査は、チェック担当者のさじ加減で判断が分かれることが多く、前回の審査で認められたものが、審査基準は変わっていないのに、次の審査では認められない、といったことも頻繁に起こります。

そのため、明らかに文書を修正したほうが早いものを除いて、判断が難しいものは、次の現場審査まで持ち込むことが推奨です。

 

現場審査

文書審査の次に現場審査が来ます。

現場審査は、通常本社に審査が来ます。他の拠点を見ることはまずありません。

審査員は23名で来社し、原則としては個人情報保護管理者に対してインタビューをします。

ただし、審査の最初に事業者の代表者へのインタビューがあるので、必ず代表者をアサインするのを忘れないようにしましょう。

代表者のインタビューは、実態としては審査というよりも、業務概要の確認や、体制の確認が主であり、代表者への質問でNGが出ることはほとんどありません。

代表者へのインタビューのあと、個人情報保護管理者へのインタビューが始まります。

審査は大きく分けて体制面審査、個人情報の取り扱い状況の実態調査に分かれます。

 

現場審査~体制面審査

体制面の審査で確認するのは、次のポイントです。

  • 個人情報保護方針
  • 個人情報の特定、およびリスクの特定
  • 個人情報の委託状況
  • 個人情報の管理体制、役割
  • 教育
  • 内部監査
  • 事業者の代表者による見直し

これらの審査上重視されるのは、実施の記録があるかというところです。

上記の項目はすべて、定期的に実施が求められるところであるため、何かしらの記録が発生していなければ運用されているとみなされなくなります。

 

それぞれの記録で必要となるものは次のものです。

項目 記録 チェックポイント
個人情報保護方針 個人除法保護方針の文面 更新日が最新になっているか
ホームページなどに掲載されているものと内容があっているか
個人情報の特定、およびリスクの特定 個人情報管理台帳、リスク調査の記録 台帳に実際に取り扱っている個人情報がすべて特定されているか
台帳に特定された個人情報が、すべてリスク調査の対象になっているか
個人情報の委託状況 委託先の評価記録、委託先との契約 定期的に委託先は評価されているか
個人情報の管理体制、役割 組織図など 体制は最新のものに更新されているか
教育 教育計画、教育記録、テストなど 教育は毎年計画されているか
全員参加しているか
教育の有効性は判定されているか(テストなど)
内部監査 内部監査計画、内部監査チェックリスト、内部監査報告書 内部監査は毎年計画されているか
全部署が監査されているか
監査結果の指摘はすべて対応完了しているか
フォローアップされ、監査結果は問題なく解決されているか
事業者の代表者による見直し 事業者の代表者による見直し 事業者の代表者による見直し記録は毎年作成されているか

次回は個人情報の取り扱い状況の実態調査についてお話しします。

佐々木秀林

情報セキュリティアドミニストレータ(2003年取得)

中堅コンサルティング会社に在籍、主にISO9001(QMS)、ISO14001(EMS)を支援する傍ら、ISO27001(ISMS)、JISQ15001(Pマーク)、ISO20000(ITSMS)などのコンサルティング事業を新たに立ち上げる。

実績としては、
・ISMS+QMSの同時認証取得(当時国内初)
・ISMS+Pマークの統合マネジメントシステム構築(当時国内初)
・ISMS+QMSの統合マネジメントシステム構築および認証取得(当時国内初)
・QMS+ITSMSの統合マネジメントシステム構築及び認証取得(国内第一号の認定授与)
・QMS+ISMS+ITSMSの統合マネジメントシステム構築及び認証取得(当時国内初)

特にマネジメントシステムの統合や、既存システムの改善を得意としている。

また、QMS(品質マネジメントシステム)をベースとした知識に基づき、業務の標準化、効率化及び経営改善などにも取り組んでいる。

 

所属:株式会社リアライフ
http://www.rea-life.com/index.html

<類似記事>

  1. ある日Pマーク担当になった人のために 第3回「プライバシーマーク審査の実態その2」
  2. ある日Pマーク担当になった人のために 第4回(最終回)「個人情報保護法の改正について」
  3. ある日Pマーク担当になった人のために 第1回「個人情報保護の基本中の基本」
  4. 【情シス基礎知識】情報機器入替時に必須の「データ消去」とは?
  5. 選ぶならAWSかAzureか? はじめてのクラウドで仕入れておきたい予備知識

関連記事

トップページに戻る

情シス求人

  1. 登録されている記事はございません。
ページ上部へ戻る