プライバシーマーク審査

プライバシーマーク審査員は、審査機関で審査員として認定された者が、プライバシーマークの審査を行うことができます。

 

通常、インストラクター（見習い）、プライバシーマーク審査員、プライバシーマークリーダー審査員に分かれるようです。

 

　近年、審査員間のレベルが問題になることが発生しています。同一案件に対し、ある企業ではＯＫを出しても、別企業ではＮＧを出すという具合です。

　また、是正措置の改善策の審査結果に対し、A審査員は１～２週間で返答があるのに、B審査員は１・５か月以上かかることもあります。

 

　審査結果の内容そのものは、良く良く確認しますと、全体的には、その企業にふさわしい重要な点を指摘しているようです。

 

　あくまでもその企業が個人情報マネジメントシステムを維持できるか否かを見ているようです。ですから、指摘されたことは十分吟味して対処することが大切です。

 

　尚、現地審査は、企業規模によりますが、小・中規模企業の場合通常２～３人位の審査員が対応に当たります。

 

　審査機関からプライバシーマークを認定を受けた後は、自社の規程文書に従い運用します。２年経った時には、プライバシーマークの使用に可否に対する審査を受け、再度、認定されなけばなりません。

 

 　その更新審査の主なポイントは、次の項目です。

 

①継続的改善が実施されているか。

 

　個人情報の見直し・リスク分析の見直し、苦情等に対する対応、教育に対する見直し、内部監査に対する見直しなどを行っているか。

 

②規程文書の改定を行っているか。

 

　見直した結果を正しく規程文書に反映させているか。

 

③自社で規程した文書内容に沿って実施されているか。

 

　　記録類はルール通りに記載されているか、安全管理対策は規程文書通り実施されているか。

 

④全集業者への個人情報保護マネジメントシステムのモチベーションを維持させているか。

 

　　定期的な会合等で周知徹底しているか、日常業務で指導しているか。 　

 

　これらの業務を怠っていて、更新直前になって、あわててどうしようか・・・ということのない様に、常に「継続的改善」を実施することが大切です。

 

　そのためにも、実施すべきことをルーチンワーク的に捉え、チェックリストなどで管理すべきでしょう。

 

特に、教育、内部監査、マネジメントレビューは重要です。 　　 　

 

　プライバシーマークの現地審査は、申請してから概ね２～３ヶ月（平成２１年１１月現在）位経ってから実施されます。（ＪＩＰＤＥＣの場合）

 

 　現地審査員は、受審企業規模によりますが、２～３名もしくはそれ以上です。

 

 　9：00～16：00あるいは17:00ごろまでのほぼ１日かけて行われます。

　審査内容は、代表者への質問、規定文書に沿った実施状況・記録状況の確認、規定文書の確認、最後に不適合事項の確認などが行われます。

 

　10日～２週間後に審査結果が郵送され、３ヶ月以内にその是正内容を策定し審査員に返答します。この返答が速ければ速いほど、プライバシーマークの認定は速いことになります。

 

◆最近の審査状況

 

 　最近の審査状況は、1年前、半年前と比べると、かなり厳しくなっていると言えます。大日本印刷での個人情報漏えい事件が起きてから、特に厳しいようです。

 

　一方、指摘事項も審査員によって違うのも事実です。ほぼ同じ規程文書でも、Ａ審査員はＯＫでも、Ｂ審査員ではＮＧということも珍しくありません。

 

 　審査する重要事項については、JISQ15001理解のポイントに記述してある通りですが、審査員自身の得意なところを聞きたがる傾向があるようです。例えば、ＱＭＳ（品質マネジメントシステム）出身の審査員と情報システム出身の審査員とでは、審査チェックリストに従い審査するといっても、やはり、突っ込みに違いがあるようです。

 

 　とはいっても、大筋では共通する審査レベルはあるようです。受診企業が認定後、ＰＤＣＡのマネジメントシステムを回すことができるか、リスクアセスメントを一定のレベルで行えるか、本人の同意を正しい手順で実施できるかなどです。

 

 　詰まるところ、企業側が、どれほど真剣に自社のこととして、JISQ１５００１の要求事項を消化しているか問われるようです。やはり、このことはしっかり押さえる必要があるでしょう。

 

　各審査機関から申請するための申請書を取り寄せる必要があります。ＪＩＰＤＥＣへ申請する場合は、
http://privacymark.jp/application/new/doc/new2006.doc

からダウンロードすれば、申請書を入手することができます。

 

申請書のチェック欄に沿って記載すれば漏れはないでしょう。

 

　他に就業規則の賞罰欄にプライバシーマーク関連が記載されているページをコピーすることが必要です。

　　紙媒体だけでなく、できるだけＣＤ、ＦＤなどのデジタルデータも送るようにしたほうがよいでしょう。

 

　社印は、角印ではなく、代表者印を押印する必要があります。

　ＪＩＰＤＥＣなどの審査機関へのプライバシーマーク認証の申請書には、各記録を添付する必要はありません。

 

　文書類一式および何も記入されていない様式一式を提出します。また、フロアレイアウトやネットワーク構成図は重要な企業機密情報であり、提出する必要はありません。

 

　記載済みの記録内容は、現地審査で審査されます。日付や押印状況まで審査されます。しっかり整合性のとれた記録を採る必要があります。 

 

 

　プライバシーマークの現地審査後、３ヶ月以内に指摘事項に対する是正措置を審査員に提出する必要があります。しかし、その３ヶ月以内に全ての是正措置をクリアしなければならないということではありません。

 

 　遅くとも、３ヶ月以内に提出する必要があります。その提出結果に対し、審査員から再度指摘事項があれば、１か月以内に前回同様に是正措置を提出します。以下、同様に指摘事項があれば、一か月以内に提出します。

 

　通常、再提出は、１～２回で終了し、プライバシーマークの認証取得となります。

 

 　コンサルティング会社からの支援があり、自社でそれなりに対応している限り、普通なら、プライバシーマークを認証されないということは、考えにくいでしょう。

 

 

　ＪＩＰＤＥＣへプライバシーマーク認証のための申請書を提出してから、現在（Ｈ２１年１２月）では、概ね２～２．５ヶ月以上かかっています。そのときのＪＩＰＤＥＣの審査員の状況に左右されているようです。

 

 　以前は３ヶ月以上でしたが、その後審査員を大幅に増員して期間を短縮しているようです。

 

 　ちなみに、書類審査は、申請書提出後、約１ヶ月で審査結果が文書で送られてきます。