【現地でのヒアリングも必要?】プライバシーマークの取得方法に含まれる5つのステップとは
プライバシーマークが付与されると、個人情報を安全に取り扱っていることの証明になり、企業の信頼度がアップします。ここでは、プライバシーマークを申請するために、どんな要件があるのかなど、プライバシーマーク取得方法について紹介しましょう。
プライバシーマークとは、個人情報保護に関して一定の要件を満たした事業者に与えられるもので、「Pマーク」とも呼ばれます。
プライバシーマークの認定は、一般財団法人日本情報経済社会推進協会(JIPDEC)が行っており、認定する際には、JIS Q 15001「個人情報保護マネジメントシステム-要求事項」(平成18年5月20日改正)に沿って、個人情報保護マネジメントシステムが設けられているかどうかが審査されます。
プライバシーマーク申請までの流れ
プライバシーマークを申請するには、その前提として社内で個人情報保護マネジメントシステムを整え、実際の運用を行っておくことが必要になります。具体的には、次のような流れになります。
1. 個人情報の調査
社内の全ての部署で取得、利用している個人情報を整理し、管理するための表を作ります。個人情報を管理する表に、利用目的、入手経路、利用部署、保管場所、保管期間、廃棄方法などを記載することになります。
2. リスク分析
1.で作成した表を元にして、入手、利用、預託、保管、廃棄などの局面ごとに、想定されるリスクとそれに対する対策を考え、リスク分析表にまとめます。
3. 内部規程作成
社内の個人情報保護方針を文書化した内部規程やマニュアルを用意します。
4. 従業員の教育
プライバシーマーク申請前に、少なくとも1回の従業員教育が必要です。取得後も年に1回は従業員教育を行わなければなりません。
5. 運用開始
従業員は、内部規程に従って個人情報の取り扱いや安全管理措置を講じます。運用開始後、継続困難な規程は修正を行う必要があります。
6. 内部監査
運用を開始してから数週間が経過した後に、監査責任者が運用状況について点検、監査を行います。その結果、内部規程が守られていない場合には、是正措置を行います。
7. 見直し
社長を含めたメンバーで見直し会議を行い、運用中に生じた問題点などを個人情報保護管理者から社長に報告をします。社長は報告された内容について見直しの指示を出します。
8. プライバシーマーク申請
全ての準備が整ったら、プライバシーマークの申請が可能です。申請先は、指定された審査機関または付与機関から選ぶことになります。
プライバシーマーク取得までの流れ
プライバシーマークを申請すると、書類の不足や記載漏れがないかどうかの確認が行われ、問題がなければ受理されます。申請受理後の流れは次の通りです。
1. 文書審査
内部規程がJIS Q 15001に合致しているかどうか審査されます。
2. 現地審査
文書審査が終わると、審査員による現地審査が行われます。規程通りの体制が整備され、運用されているか、記録や資料などから確認がされます。
代表者や申請担当者へのヒアリングも行われるため、プライバシーマーク申請のきっかけや個人情報を特定する手順といった内容に答えられるようにしておかなければなりません。
3. 改善結果の報告
現地審査後、指摘事項がある場合には、審査機関から指摘事項が書面で通知されます。指摘事項に従い、改善結果を報告します。
4. 判定会議
審査機関において判定会議が行われます。判定会議でプライバシーマークを付与するかどうかが決定されます。
5. 認定
プライバシーマークの付与が認定された場合には、付与機関からプライバシーマーク付与契約書と付与登録料の請求書が届きます。
プライバシーマーク取得が可能な組織の条件は?
プライバシーマークは、企業などの法人でなければ取得できないわけではなく、自営業者でも規定の条件を満たしていれば取得は可能です。
例えば、プライバシーマークを付与するための条件であるJIS Q 15001において定められている個人情報保護マネジメントシステムでは、社内に個人情報保護管理者と個人情報保護監査責任者の少なくとも2名を置くものとされています。そのため、完全に1人で事業を行っている自営業者などは、プライバシーマークが取得できません。ほかにも規定の条件があるので、取得しようと考えている場合にはしっかりと確認をしましょう。
今回は、プライバシーマークの取得方法について説明しました。付与されることで、個人情報の取り扱いを適切に行っていると認められるプライバシーマークですが、取得したら2年ごとに更新を続けなければなりません。プライバシーマークを取得したからと言って安心せず、個人情報保護マネジメントシステムに従って、個人情報保護の体制をしっかりと維持するようにしましょう。