プライバシーマーク(サービスメニュー)

SERVICE

お問い合わせはこちら

規格改定はマネジメントシステム刷新のチャンス!

プライバシーマークの準拠規格であるJIS Q 15001が改正され、2018年8月から新規格(JIS Q 15001:2017)による審査がスタートしました(取得済みの企業には2年間の猶予期間が設けられています)。当社では既に多くの企業に新規格準拠のコンサルティングを提供しており、対応のノウハウを蓄積しています。

1つ目のポイントは2017年5月施行の改正個人情報保護法への対応です。外国への個人データの移転が発生する企業、事業において個人情報の第三者提供をおこなう企業、匿名加工情報の作成をおこなう企業を除いて、影響は極めて軽微です。 もう1つのポイントは、形式的な審査から実効性を重視した審査に方針が変更されたことです。事業者は画一的で無意味な審査要求から漸く解放されることになります。

当社では、新規格の差分にのみ対応するミニマムな支援も提供していますが、審査方針の変更を契機にマネジメントシステムの実効性を高めたいという要望を多くの企業から頂いています。今こそがマネジメントシステム刷新のチャンスと言えます。

“罰ゲーム”からの脱却を

プライバシーマークを取得するには本来、PDCAサイクルを回し、個人情報を適切に保護するための全社的な体制を構築することが、取得条件であり存在意義です。しかし、実態は大きく異なっています。プライバシーマーク認定企業の活動を「審査対策のためのアリバイ作り」と「情報漏えいリスクの低減」の2つ側面に分解しその相関性を検証するためのマトリクスを作成しました。

図1

Ⅰ象限は完全に無駄な作業、Ⅱ象限もプライバシーマーク取得のためだけの作業であり実効性がないため、基本的にはⅢ・Ⅳ象限の実施を目指すべきということになります。「そんなことは当然だ!」という声が聞こえてきそうですが、実態はどうでしょうか。残念ながらプライバシーマーク認定企業の活動は下記のようにマッピングされます。

図2

大半の活動がⅡ象限に集中し、Ⅰ象限の活動も過去の残骸として存在しています。つまりⅢ・Ⅳ象限の活動を実施できないまま、ただプライバシーマークを保持するために「作業」をしているといった事態に陥ってしまっています。その結果、経営陣や現場スタッフ無駄な儀式・紙づくりという形でマネジメントシステムに巻き込むことになり、「プライバシーマークは経営や業務の邪魔!」といった認識に至ります。

これは企業側の問題ではなく、形式的な適合性のみを確認してきた審査機関、審査に通るためのテクニックのみを伝えてきたコンサル会社等、認証制度全体の問題です。このままでは、「プライバシーマーク」という制度そのものが形骸化し、プライバシーマークを保持することによる顧客からの信用獲得もままならなくなる恐れがあります。

当社は日本で最初の個人情報保護専門コンサルティングファームとして長年に渡り、マネジメントシステムの実効性に繋がる取り組みを研究してきました。我々のコンサルティングの目的は、下記図のような理想的な状態に引き上げることにあります。

図3

コンサルティングサービス概要

各社ごとのカスタマイズサービスとなるため、スケジュール感は案件により異なりますが、大まかな流れは下記の通りです。

1.現状把握

現状のヒアリングを実施し、課題を洗い出します。

図4

プライバシーマークご担当者様のみではなく、必要に応じてシステム・各業務のご担当者様等にもヒアリングを実施致します。

2.マネジメントシステム改善

洗い出した課題を基に、規程・帳票類の改訂を含め、各社ごとに最適なマネジメントシステム改善のご提案を致します。(新規格への対応も同時に実施致します)

図5

プライバシーマーク取得・更新・維持支援

上記のような実効的なマネジメントシステム構築のためのご支援の他、プライバシーマーク(Pマーク)の新規取得・更新支援対応、JIS Q 15001:2017への対応支援等、幅広いメニューを用意しております。プライバシーマークを取得・維持することは大前提ですが、各社に合わせたマネジメントシステム構築のため、複数回のご訪問を含めた丁寧なコンサルティングをおこないます。

プライバシーマークを新規に取得されるお客様に対してはフルサポートパッケージをご用意しております。リスク分析、お客様の業務に準じた規程作成、教育、監査や審査対応まで全て細やかに対応を致します。お客様自身が無理なくプライバシーマークの運用ができるよう、リスクアセスメント実施方法、規程の理解、帳票の利用方法などをご説明させていただきます。プライバシーマークの審査はお客様が受けるものですので、お客様が理解して文書を作成し運用していけるようサポートをおこないます。

教育・監査については形式的なものではなく、お客様の個人情報保護に対する取り組みのレベルを上げるために、ノウハウの共有も含めながら講師派遣、内部監査代行を実施致します。審査機関への申請方法、審査の指摘事項への対応方法についてもサポート致します。申請までは平均で4ヶ月、Pマークが取得できるまでは平均で8ヶ月ほどのスケジュールとなります。企業規模や取り扱う個人情報によりスケジュールは変動いたします。また、プライバシーマーク取得後の運用や、教育・監査実施、審査機関への申請手続きやPマーク更新審査後の指摘事項対応などもご支援させて頂きます。

メニュー内容

個人情報ルール策定支援

個人情報の流れおよび個人情報の取扱いについて綿密なヒアリング調査をおこない、業務に適合したマネジメントシステム(規程・帳票)を策定します。

社内教育支援

教育資料の作成、講師派遣から教育効果の測定まで、プライバシーマーク取得要件である社員教育に必要なメニューを全て提供します。
個人情報の保護を目指すとき、最後まで残る課題が「人為的ミスによる事故への対策」です。人間の活動に絶対はありません。この人為的ミスを減少させるため、継続的な社員教育による「保護意識の向上」が必須です。プライバシーマーク取得申請のためにも、年度ごとの全社員に対する教育の実施が求められています。集合教育・e-ラーニングによる教育が選択できます。

監査支援:最適化された社内監査の実施支援

監査チェックリストの作成、内部監査実施代行から監査報告書の作成をおこないます。ご要望に応じて内部監査員研修なども実施致します。個人情報保護マネジメントシステムは、一度作成すればそれでOKではありません。運用年度を定め、年度ごとに運用結果を見直し、不備な点を改善していく「しくみ」が必要です。そのかなめが年度ごとの監査です。個人情報保護マネジメントシステム新規策定・申請時においても一定の運用期間を経た後に、定めた手順に従って監査を実施し、プライバシーマークを申請できるレベルに持っていくことが必要になります。

申請・審査支援

プライバシーマークの審査に向けた準備や審査後の補正対応をサポートします。申請時の準備事項や審査後の指摘事項対応に対してどのように実施すればよいのかについて、詳細な対応をおこないます。Pマーク審査機関への報告資料のチェックなど細かいサポートをおこないます。

一般的なプロジェクトの流れ

一般的なプロジェクトの流れ

お問い合わせはこちら