今回は、これからプライバシーマークを取得しようと考えている企業向けのお話になります。
プライバシーマーク取得を目指す企業にとって、適切な準備と計画は成功の鍵です。本記事では、プライバシーマークを効率的に取得するための包括的なガイドを提供します。
プライバシーマーク(Pマーク)とは
プライバシーマーク(Pマーク)は顧客の個人情報を適切に管理し、保護する体制が整っていることを示す重要な証です。プライバシーマークの基礎知識や大まかな取得の流れについては、下記の記事を参照ください。
Pマークとは信頼の証?企業が知るべき取得方法の流れから取得費用、効果を徹底解説
Pマーク取得にかかる期間
Pマーク取得の標準的な期間としては、1年間を見るとよいでしょう。
コンサルティング会社を利用することで最短6ヶ月まで短縮することはできますが、期間が短ければ良いというわけではありません。
それでは、Pマーク認定までの6つの工程を詳しく説明していきます。
工程1 取得プロジェクトの計画策定
(1)プロジェクト体制の決定
会社の規模によって異なりますが、次のような体制を整えることでプロジェクトをスムーズに進めることができます。
プロジェクトオーナー
PMS構築後は個人情報保護管理者となる管理系部門の部門長もしくは担当役員の方が適任です。経営層や現場を動かしていくために、一定の知見と権限を有した方がベターです。
プロジェクト事務局
文書管理、社内周知などが主なタスクとなります。管理系部門の担当者がアサインされるケースが多いです。コンサルティング会社を利用してプロジェクトを進める場合は、コンサルタントとの会議運営等もおこなうこととなります。
IT担当者
アカウント発行・抹消のワークフローの構築やセキュリティポリシーの見直しなど、Pマークの要求事項にはIT対応が必要なものが多いです。そのため、IT担当者を巻き込むと対応がスムーズに進みます。
総務/人事担当者
入退室管理、ファシリティーの整備においては総務担当者、社員や採用応募者からの同意書の取得は人事担当者という形で、スポットで協力が必要となります。
部門担当者
中規模以上の企業の場合は、現場のキーマンをプロジェクトにアサインするのが良いと考えます。現場の実態を把握し、現場に無理のない形でルールを導入させる。また現場の協力を得るためにも、現場サイドのメンバーを巻き込むメリットは非常に大きいです。
(2)取得期日の決定
プライバシーマークの取得は具体的な期日を設定しましょう。プロジェクトの進行が効率化され、目標達成に向けた計画が立てやすくなります。また、各タスクの優先順位付けが明確になるため、プロジェクトの遅延を防ぎやすくなります。
(3)コンサル会社のサポート要否の決定
コンサル会社のサポートを利用することで、自社の作業負担を減らしたり、審査事例などの知見を得たりすることができます。
コンサル会社は、サービス内容がさまざまなため、頭脳として利用するケース、手足として利用するケースなど自社に合ったものを選びましょう。
最近では雛形を安価に提供して、運用の代行までおこなってくれるコンサル会社もあります。この場合は手足として利用する形でしょう。内製する場合に発生する人件費やプロジェクト遅延のリスクとコンサルティング会社に支払う費用を比較して、利用の要否を決定するのが良いです。ただし、雛形の提供を受けること、運用の代行を依頼することには、大きな副作用もあるため、注意が必要です。
大企業においては、コンサルタントは頭脳として活用するのが良いと思います。様々な業種、規模のクライアントへの支援経験から、必要な知見を得ることができます。審査事例、他社事例、法規制等の動向を把握したコンサルタントに依頼できれば、費用対効果は非常に高いものとなります。
工程2 取得に必要な文書・記録の用意
(1)現状調査(1ヶ月~2ヶ月)
まず個人情報の発生状況、データフロー(個人情報の取扱いの流れ)、情報システムの状況について調査をおこないます。プライバシーマークの要求事項である、「個人情報の特定」と「リスク分析」に絡めると作業の二重化が発生しないため効率的です。審査基準を把握したアセッサー(社員でも外部コンサルタントでも可)を利用して、Fit-Gap分析をおこない、審査に合格するために何が足りないのかを早めに洗い出しておくと良いです。
(2)PMS構築(1ヶ月~3ヶ月)
プライバシーマークの要求事項を網羅した個人情報保護マネジメントシステム(PMS)を構築します。まずは土台となるPMS文書を作成または入手し、これをベースに社内実態に合わせたルールのカスタマイズをおこなっていきます。ある程度完成したところで、関係者に周知して、問題がないか等の意見を集めます。意見を反映させた上で、社内承認の手続きに入ります。文書を作成する上で、スタンダード層またはプロシージャ層までは汎用性や審査基準を意識した内容にするのが賢明です。実運用については、マニュアル層で拾っていくのが良いでしょう。
工程3 PMSの運用
教育を通じて、PMSを全社的に展開し、運用をスタートさせます。監査が実施可能なレベルまで運用精度を高めるには最低1ヶ月は試運用期間が必要だと考えましょう。また、この期間で発生した運用上の課題をベースに、必要に応じてPMS文書の修正をおこないます。
工程4 監査~申請
内部監査を実施しながら、並行して申請書類の記入など申請の準備をおこないます。
申請書類には、代表者印が必要となるものや、登記事項証明書などもあるため、あらかじめ各審査機関のウェブサイトで確認しておくことが良いでしょう。
監査結果が固まったらマネジメントレビューを実施します。運用を一通り完了したので、ここまでくれば申請が可能となります。
審査機関や審査時期によって異なりますが、申請してから審査まで、1ヶ月~2ヶ月の待機期間が発生します。この間に、文書審査の対応をおこないつつ、審査に向けた最終仕上げをおこないます。コンサルティング会社の協力が仰げる場合は、模擬審査やトップインタビューに向けた対策を実施するのが効果的です。
工程5 プライバシーマーク審査
現地審査では、実際に審査員2名がオフィスに来訪します。PMS文書に定めた通りに運用されているか、記録が作成されているかをヒアリングと証跡確認により確認していきます。また、現場巡回によりオフィス環境の確認をすることもあります。
工程6 プライバシーマーク認定
現地審査が終了すると、審査後1週間ほどで、指摘事項が書面で送付されます。指摘事項への対応をおこない、対応のエビデンスとなる書類を3ヶ月以内に審査機関に提出することとなります。対応が不十分であると判断された場合には、書類を作り直し、再提出をします。なお、再審査は、現地審査後に事業内容あるいは体制に著しい変更等が生じた場合に行われるものであり、極めて稀です。
提出した書類を審査員が問題ないと判断すれば、その時点で内定となります。審査機関内の審査会を経て正式にプライバシーマークが付与されます。指摘事項の数や再提出など対応状況にもよりますが、認定まで、最短で1ヶ月、長い場合は半年かかることもあります。
まとめ
Pマークの取得プロジェクトにおける6つの主要な工程を通じて、個人情報保護の体制を強化し、PMSを構築・運用する方法を説明しました。
これまで記載してきたように、Pマーク取得のためには一定の工数が発生し、また審査費用やコンサルティング費用等も発生しますが、メリットを考えるとPマークは比較的費用対効果が高い認証ですので検討を進めてみましょう。
当社では、Pマークの取得・運用支援コンサルティングサービスを提供しています。個人情報保護マネジメントシステムの設計から、審査の準備、運用まで、一貫した支援を行っております。
運用や審査でお困りのことなどご相談ございましたら一度ご連絡ください。