プライバシーマーク・ＩＳＯ２７００１取得支援・コンサルティング 　東京都練馬区

小規模企業、中小企業・事業者の皆様に、プライバシーマーク、旧ＪＩＳから新ＪＩＳQ１５００１への移行、個人情報保護法、ＩＳＯ２７００１、ＩＳＭＳなどの認証・認定取得支援・指導、維持更新支援・指導、コンサルティングを行います。お気軽にご相談下さい。

コンサルティング会社を替えたいと考えている方へ。

 いきなり恐縮ですが、最初に一つお聞かせ下さい。

現在のコンサルティング会社は、どのようにして決めたのですか？

コンサルタティング会社の営業担当者は、良いことは言いますが、悪いことは言いません。「見た目 が良い」、いや、「担当者の感じが良さそう」で決めたかもしれません。実際にコンサルティングをして初 めて分かることがあります。相当にプライバシーマーク業務に精通しない限り、最適なコンサルティ ング会社を選定することは出来なくなってきました。

 一度も経験のない、実行したことのない業務を、何十社、何百社もあるコンサルティング会社 から、選定することは難しいことです。

もし、あなたがすでにコンサルティング会社選定に関して、相当な知識や経験をお持ちでしたら、本 レポートはお役に立たないと思います。

しかし、そうでないなら・・・。何とかして今のコンサルティング会社を代えたい、もっと有益なコ ンサルティング会社に頼みたいとしたら、次の内容はとても有益なアドバイザーとなります。 しかも、今のあなたは、どんなコンサルティング会社が自社に貢献してくれるのか、どんなレベルの コンサルティング会社が自社にととって必要なのか、が分かっているはずです。

 「貴社に合ったコンサルティング会社の選び方」（ＰＤＦ　Ａ４版 Ｐ４）

このレポートの目的は、誰もがコンサルティング会社の選び方の急所を理解し、後悔しないコンサル ティング会社の選定にお役に立とうとするものです。

 「何がコンサルティング会社の価値を決めているのか？」、「自社の選定使用目的にマッチす るには、 何をチェックしたら良いのか？」、「何をどのレベルまで営業担当者に確認したら良いのか ？」　こういった視点をご提供することになります。

 参考までに、このレポートから得られる知識のほんの一部をご説明すると・・・。

 ●精度の高い規定文書テンプレート（ひな型）とは　

●面倒見が良いということとは　

●契約コンサルタントへの丸投げとは　

●自分の目で確かめることの大切さ　

●コンサルティングポリシーとは

念のため申し上げますが、このレポートは私どもの創作資料ではありません。今までのプライバシ ーマーク認証取得約５０社のコンサルティング結果に基づいた、率直な意見を集約したものです。

 このレポートは今までの経験と生の現場情報をもとに書かれているため、コンサ ルティングノウハウのある情報も含みます。

ですからで、実際に使用される最終ユーザーの方に限って、配布させて頂 きたいと思います。

興味本位 の方、競合の方はご遠慮下さるようお願い致します。

 このようなレポートは、他のホームページのどこを探しても見当たらないと思い ます。

ご興味を持たれたならば、今すぐお申込み下さい。 申込み方法はとても簡単です。

ご希望の方は下記フォームに「レポート要求」と必要事項を記入し、送信 ボタンをクリックして下さい。早急にお届けします。

株式会社ペリオディーク・コンサルティング

椎木　忠行

レポート要求入力 フォーム

弊社では、安全性を考慮してＳＳＬを使用しています。

ご登録メールアドレスに、早急にお送りいたします。

初めて、プライバシーマーク認証取得に取組む方へ。

 いきなり恐縮ですが、最初に一つお聞かせ下さい。

プライバシーマーク取得を難しいと考えていますか？ あるいは、簡単に取得できるとお考えですが？

 何十社、何百社もあるコンサルティング会社から、最も自社に見合うコンサルティング会社を選定す ることは難しいことです。

コンサルタティング会社の営業担当者は、良いことは言いますが、悪いことは言いません。選定する側が的確な視点を持ってコンサルティング会社を比較検討しない限り、最適なコンサルティング会社 を選定することは出来なくなってきました。

もし、あなたが十分な時間を使ってコンサルティング会社を比較検討出来るなら、本レポートはお役 に立たないと思います。しかし、そうでないなら・・・。限られた時間と情報の中で、最適なコンサルティング会社を選定しなければならないとしたら、次の内容はとても有益なアドバイザーとなりま す。

 「貴社に合ったコンサルティング会社の選び方」（ＰＤＦ　Ａ４版 Ｐ４）

このレポートの目的は、誰もがコンサルティング会社の選び方の急所を理解し、後悔しないコンサル ティング会社の選定にお役に立とうとするものです。

 「何がコンサルティング会社の価値を決めているのか？」、「自社の選定使用目的にマッチするには、 何をチェックしたら良いのか？」、「何をどのレベルまで営業担当者に確認したら良いのか？」　こういっ た視点をご提供することになります。

 参考までに、このレポートから得られる知識のほんの一部をご説明すると・・・。

 ●精度の高い規定文書テンプレート（ひな型）とは　

●面倒見が良いということとは　

●契約コンサルタントへの丸投げとは　

●自分の目で確かめることの大切さ　

●コンサルティングポリシーとは

念のため申し上げますが、このレポートは私どもの創作資料ではありません。今までのプライバシ ーマーク認証取得約５０社のコンサルティング結果に基づいた、率直な意見を集約したものです。

 このレポートは今までの経験と生の現場情報をもとに書かれているため、コンサルティングノウハウのある情報も含みます。

ですからで、実際に使用される最終ユーザーの方に限って、配布させて頂きたいと思います。

興味本位 の方、競合の方はご遠慮下さるようお願い致します。

 このようなレポートをは、国内どこを探しても見当たらないと思い ます。

 プライバシーマークの更新時期になって、以前頼んだコンサルティング会社には、頼みたくない。もっと良い会社に頼みたいという企業様が増えています。

 このようなことが起無いように、本レポートを作成しました。

ご興味を持たれたならば、今すぐお申込み下さい。 申込み方法はとても簡単です。

ご希望の方は下記フォームに「レポート要求」と必要事項を記入し、送信ボタンをクリックして下さい。早急にお送りします。

株式会社ペリオディーク・コンサルティング

椎木　忠行

レポート要求入力フォーム

弊社では、安全性を考慮してＳＳＬを使用しています。

ご登録メールアドレスに、早急にお送りいたします。

個人情報の取得・プロセスリスク分析は、次のように行います。

　●個人情報を取得、利用する場合は正規の手続きを通じて行います。

　●個人情報を取得するときは、本人から合意を得ることが必要です。 （本人から直接取得する場合）

　●取引先から個人情報を取得する場合は、正しくルールで取得したか（同意など）を、確認する必要があります。

　　　不正に取得した個人情報を利用してはいけません。

　●取得した個人情報は目的外利用を禁止します。

　●個人情報のリスク分析を通じ、プロセスおよびリスクを分析し、管理策を策定します。

事故・事件が発生した時は、次のように対応します。

　●事故が発生した時は、直ちに部門責任者などに連絡します。

　●パソコンでウィルスを発見した時は、ＬＡＮケーブルを外します。

　　　 ただし、電源は切らずにそのままにします。

　●個人情報が外部へ漏えいした時は、外部・内部へ漏えいしたことを勝手に漏らしてはなりません。

　●事故発生への基本的姿勢は、影響度を最小限にし、二次被害を起こさないようにすることです。

　●常に、緊急連絡網を把握しておきます。

　●どんな小さな事故・事件でも、報告します。

通常、従業員が守るべきパソコンの安全管理策には、つぎのようなものがあります。

　 ●パスワードは年２～４回変更します。

　●決められたパスワード以外のパスワードを使用してはいけません。

　●パスワード付きスクリーンセーバを設定します。

　●許可されていないパソコンを持ち込めません。

　●WinnyやShareなどのファイル交換ソフトをインストールしてはいけません。

　●許可なく、ＵＳＢメモリーやＣＤ－Ｗなどにコピーしてはいけません。

　●私的に、電子メールやインターネットを使用してはいけません。

　●指示通りに、セキュリティパッチを適用します。

　●パソコンを外部に持ち出す時は、許可を得てから行います。

　●何か異常があった時は、速やかに部門管理者や個人情報保護管理者に連絡します。

通常、 従業員が守るべき安全管理策には、次のものがあります。

　●キャビネットや引き出しは、鍵をかけます。

　●クリアデスク、クリアスクリーンを実施します。

　●個人情報の複写・印刷・送信などは、ルール通りに行います。

　　　複写した個人情報も重要な個人情報です。

　●保管期限の終了した個人情報は廃棄・削除します。

　●ＦＡＸやメールでの送信後は、誤送信がないか確認します。

　●業務に必要のない個人情報は持たないようにします。

　●判断に迷う時は、部門責任者に相談して、指示を仰ぎます。

　プライバシーマーク運用の基本となる規程文書は、分冊にしなけらばならないのかと聞かれることがあります。

　分冊でも全て一緒にしても、どちらでもかまいません。　大きな組織で管理部門が異なる時は、分冊の方がよいでしょう。　一方、小さな組織でそれほど管理部門が分散していない時は全ての規程類をまとめた方が良いでしょう。規程文書の管理はまとまっている方が管理しやすくなるでしょう。

　また、規程文書内にJISQ15001:2006の要求事項をそのまま記載していいか・・・という質問も時々受けます。

　これは、一概にいえません。現状、少なくても表立って不適合にする審査員はいないようです。しかし、口頭で規程文書から要求事項の記載を外すように厳しく述べる審査員がいるのも事実です。

　ISO14001を取得しているある企業が、このJISQ15001:2006要求事項の記載されている規程文書を見て「すごく使いやすい」と言ったことがありました。

　各企業の判断で作成すれば良いのではないでしょうか。

 

 

　プライバシーマーク取得が可能かと聞かれることがあります。結論から言えば、自社でそれなりの”やる気”があれば可能です。少なくとも、それなりのコンサリタントが指導して、企業側も真剣に取り組んでいる限り、認定されないということはないでしょう。

　審査機関からプライバシーマークを認定されるかどうかは、ＪIS規格であるJISQ15001:2006の要求事項を継続的にマネジメントシステムとして運用できるかどうかにかかっています。

　具体的には、審査時の不適合に対する是正措置が適正に行えるか否かです。ここで、コンサルタントのアドバイスを受けたり、自社で工夫しながら、是正措置を講じることが大切です。これができるかどうかを審査員は見ているわけです。即ち、マネジメントシステムを維持できるかどうかです。

　もちろん、ＪＩＳ規格のレベルをクリヤしなければなりませんので、それなりに厳しいところはあります。しかし、コンサルタントのアドバイスを受けながら取り組んで行けば、必ずプライバシ－マークスキルは向上していきます。

　安心して、プライバシーマーク取得に取り組んでください。

 

　プライバシーマーク取得のためのコンサルティング会社およびコンサルタントの選び方は、コンサルティング会社のサービス内容、信用度、規模、実績などを自社の状況や要望とを対比しながら選ぶのが良いでしょう。　

　できることなら、コンサルティング契約を行う前に実際にコンサルタントを担当される方と、実際に会い面接して、”本当にやってもらえそうか”といった視点で自社の状況やコンサルタントの実績などを述べながら、確認するのがようでしょう。

　もし、どうしても自社にふさわしくないようでしたら、別のコンサルタントに代えてもらうことも考慮する方がよいでしょう。

　いづれにせよ、お互いに信頼関係が築けるかどうかが 鍵になるでしょう。

 

　

プライバシーマーク審査員は、審査機関で審査員として認定された者が、プライバシーマークの審査を行うことができます。

通常、インストラクター（見習い）、プライバシーマーク審査員、プライバシーマークリーダー審査員に分かれるようです。

　近年、審査員間のレベルが問題になることが発生しています。一方でＡ審査員がＯＫを出しても、別のＢ審査員がＮＧを出すという具合です。最近のプライバシーマーク取得希望企業数が多くなり、その対応に一部間に合わないように見えます。

　ただし、良く良く審査結果を確認しますと、全体的には、その企業にふさわしい重要な点を指摘しているようです。あくまでもその企業が個人情報マネジメントシステムを維持できるか否かを見ているようです。ですから、指摘されたことは十分吟味して対処することが大切です。

　尚、現地審査は、企業規模によりますが、小・中規模企業の場合通常２～３人位の審査員が対応に当たります。

 

　プライバシーポリシーとは、企業のプライバシー保護に対する理念を宣言したものです。通常は社内はもちろんWebや会社案内書などを通じ社外へも公表しています。 　

　内容は、あくまでも具体的な手順や方法等ではなく、規程文書の上位に位置づけられます。

　個人情報の取得、利用および提供に関すること。

　リスク分析の管理策を講じること　

　法令や国が定める指針そのたに規範を遵守すること

　苦情および相談に応じること

　以上のことを継続的に改善すること

 などを記載します。

プライバシーポリシーの改定が発生した場合は、その旨を記載する必要があります。

 

　2005年４月１日から全面施行された個人情報保護法を遵守する最も効率的、効果的な方法は、プライバシーマークを認証取得することです。

　個人情報保護法は、遵守すべき事項を記載してありますが、どのように実施するかはわかりません。その具体的な実施方法は、プライバシーマークの要求事項を記載してあるJISQ15001:2006に記載さてています。この規格は、個人情報保護法をほぼ全面的にカバーしており、プライバシーマークを運用することにより、個人情報保護法を遵守できるようになっています。

　経済産業省から出されている「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
　（http://www.meti.go.jp/policy/it_policy/privacy/070330guideline.pdf）  

には、JISQ15001:2006の要求事項の実施が、個人情報保護法の体制の整備として適切かつ有効である旨が記載されています。

プライバシーマーク取得で苦労する点は、以下の通りです。

①個人情報の洗い出しおよびリスク分析・管理策

　これは、プライバシーマーク取得のための第一歩です。個人情報の洗い出しを行わなければなりません。 この洗い出しは慣れない間は少々大変でしょう。

　その後のリスク分析・管理策は、個人情報のライフサイクルに従い行わなければなりません。これが最も個人情報保護マネジメントシステムの中核となるものですから、しっかり行う必要があります。

②規程文書の作成・改定

　多くの場合、コンサルティング会社から規程文書のツールやテンプレートを提供されることでしょう。　しかし、自社に合わせてその改定を行わなければなりません。 

　また、一度作成・変更すれば良いというものではなく、実際の運用に応じて改定していく必要があります。この場合、文書管理をしっかり行う必要があります。

③頭の切替

　プライバシーマーク取得のための作業がある程度進んでくると、これからどんなことを行えばわかってきます。

ところが、『プライバシーマーク』の世界と、日常の業務の世界が一般的に異なるため、頭の切替が必要になってきます。

　『よし、やろう』・・・という気持ちを持って臨むことが大切です。

 

　審査機関からプライバシーマークを認定を受けた後は、自社の規程文書に従い運用します。２年経った時には、プライバシーマークの使用に可否に対する審査を受け、再度、認定されなけばなりません。

 　その更新審査の主なポイントは、次の項目です。

①継続的改善が実施されているか。

　個人情報の見直し・リスク分析の見直し、苦情等に対する対応、教育に対する見直し、内部監査に対する見直しなどを行っているか。

 ②規程文書の改定を行っているか。

　見直した結果を正しく規程文書に反映させているか。

 ③自社で規程した文書内容に沿って実施されているか。

　　記録類はルール通りに記載されているか、安全管理対策は規程文書通り実施されているか。

④全集業者への個人情報保護マネジメントシステムのモチベーションを維持させているか。

　　定期的な会合等で周知徹底しているか、日常業務で指導しているか。 　

　これらの業務を怠っていて、更新直前になって、あわててどうしようか・・・ということのない様に、常に「継続的改善」を実施することが大切です。

　そのためにも、実施すべきことをルーチンワーク的に捉え、チェックリストなどで管理すべきでしょう。

特に、教育、内部監査、マネジメンチレビューは重要です。 　　 　

　プライバシーマーク取得のための費用には、大きく分けて、４種類あります。

①ＪＩＰＤＥＣへの申請に必要な費用

　 ＪＩＰＤＥＣへの申請に必要な費用は、小規模企業：30万円、 中規模企業：６０万円、 大規模企業：１２０万円です。

http://privacymark.jp/application/cost/index.html

②コンサルティイング費用

　コンサルティイング費用は、各種様々です。

　従業者数、事業拠点数などにより大きく変わります。企業規模が大ききなればなるほどコンサルティングは増大する傾向にあると言えます。

　最多価格は、１００～１５０万円というところでしょうか。従業員1,000人以上の場合なら、５００万円以上になることもあるかもしれません。

③プライバシーマーク運用のための設備費用

　プライバシーマーク運用のための設備費用としては、ウィルス駆除のためのソフトウェア費、施錠のできるキャビネットなどは最低限必要です。

　ロックのかかるドアキーなどは、個人情報の重要度から判断すべきです。本当に必要か否かは、コンサルタントと話し合いながら進める必要があります。

④内従業者の人件費

　プライバシーマーク取得のための内従業者の人件費があります。

　一般的にはこの費用が一番かかります。中規模企業で、取得までの期間を1年間、担当者２名、月５日稼動とした場合、２人×５日×１２＝１２０日分かかります。

　その他に、個人情報の洗出しおよびリスク分析の工数が各部門の現場の方にかかることになります。

 

　JISQ15001:2006は、前回のJISQ15001:1999の改訂版として2006年５月に発表されました。特徴としては、次のことが挙げられます。

　①2005年４月から施行されました個人情報保護法を全面的にカバーし、さらに全般的にもうワンランク高い要求をしています。

　語彙も個人情報保護法に合わされています。

　②JISQ15001:1999であいまいだった部分、暗黙の了解のような部分を明確にしたことです。そのため、要求事項も、大まかに言えばおよそ３倍位に増えています。

　また、JIPDEC発表のガイドラインでは具体的な実施手順を要求しています。

　プライバシーマーク取得を開始する時は、全従業者を招集してキックオフというイベントを行うことをお勧めいたします。

　これは、代表者より「プライバシーマークを取得する」ことを全従業者に宣言することにより、全従業者がプライバシーマーク取得に対する意識を高め、協力してもらう必要があるからです。

　現地審査員が現場の審査を行った時、従業者が「プライバシーマークなんて関係ない」といった態度をとれば、当然現地審査員への心象は悪くなります。それよりも、プライバシーマークの運用は困難になります。

　全従業者に対する啓蒙活動を初期段階から行うことが大切です。

　プライバシーマーク取得には、大きく分けて４種類が考えられます。

①自社で全面的に構築する方法。

　　JISQ15001:2006の要求事項に沿って、自社で全面的にシステムを構築します。この方法では、費用的には低価格で行うことができ、ノウハウを蓄積することが可能となります。

　しかし、作業工数が大幅にかかり、効率面からみると良いとはいい難いでしょう。少なくとも、コンサルタント会社のテンプレートや、プライバシーマークを取得した他社からの支援を考慮する必要が必要があるでしょう。

②コンサルティング会社からの支援をごく一部分受けて構築する方法。

　コンサルティング会社からテンプレートの提供や、ポイント説明、Ｑ／Ａ対応など、ごく一部分の支援を仰ぎます。

　ある程度基礎的スキルを有し、費用を抑えたい場合に適しています。

③コンサルティング会社からの支援を受けて構築する方法。

　コンサルティング会社の支援・指導に沿って行います。コンサルティング会社は、スケジュール管理、要求事項の解釈の説明、テンプレートの提供、審査結果の支援等を行います。

　上記①・②よりも費用はかかりますが、効率性・生産性が良く、お勧めです。

　最も一般的に活用されている方法です。

④コンサルティング会社に全面的に構築を依頼する方法。

　いわゆる丸投げに近い状態です。特に個人情報の洗出し・リスク分析、規定文書の作成など労力のかかる作業をコンサルティング会社が行うことになります。

　その分、費用は最もかかります。時間的余裕がない時に活用されているようです。

　しかし、ノウハウが蓄積しにくく、スキルの向上を図りにくくなるためか、プライバシーマー取得後、日々の運用を実現できていない場合が見受けられます。

　弊社ではお勧めしかねる方法です。

　プライバシーマークの管理策（情報セキュリティ）は、リスク管理の脅威、リスクを分析した結果を考慮して策定します。つまり、リスクの高い項目から管理策を策定します。

　たとえば、個人情報の取得・入力時に「誤って間違った内容を入力する。」というリスクがある場合なら、「入力後、チェックリストで入力した者と別の人がチェックする。」という形で策定します。

　この場合、その管理策が規定文書に記載されている必要があります。もし、なければ規定文書にその管理策を追加します。

　管理策は、安全管理対策だけではなく、JISQ15001:2006の要求事項全般から講じる必要があります。例えば、「目的外利用をしない。」、「毎月部会でプライバシーマークの点検を行う。」、「委託先契約に基づき毎月末に委託先を訪問し安全管理策を確認する。」などです。

　また、管理策は、経済産業省から出されている「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
　（http://www.meti.go.jp/policy/it_policy/privacy/070330guideline.pdf）

　およびJIPDECから出されている「JIS Q 15001：2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」
（http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf）

　をベースにしながら、実現可能性を考慮しつつ、作成することが大切です。

　JISQ15001:2006では、事前にプライバシーマークに関する教育計画書を作成し、その教育を少なくとも年１回以上受講することを要求しています。

  新入社員や派遣社員等が自社の職場に加わった時にも、プライバシーマークの教育を行う必要があります。教育は、その職場に従事している人全員が受けなければなりません。

　さらに、理解度テストやヒヤリングなどで測定し、受講者は、一定水準以上に理解している必要があります。もし、一定水準に達していなければ、その補講を行うなり、再度受講するなど行い、一定水準に達成するようにします。

　JISQ15001:2006では、事前にプライバシーマークに関する監査計画書を作成し、その内部監査を少なくとも年１回以上実施することを求めています。内部監査責任者は、その内部監査を統括し、代表者より任命されます。個人情報保護管理者との兼任はできません。あくまでも、独立性、公平性が要求されます。

　内部監査責任者は、内部監査員を指名して内部監査を行います。この場合、内部監査員が属する部署を内部監査することはできません。公平性の維持からです。

　ＩＳＯ２７００１は１年に１回、サーベランスと称し外部審査機関を通して維持審査を行いますが、プライバシーマークでは外部審査機関を動員してまで行う必要はありません。

　プライバシーマークの内部監査を実施する時に、内部監査員が事前に作成します。

　内容は、内部監査対象部門で監査が重要と思われる項目を中心に監査項目を抽出します。

　営業部門なら個人情報の洗出し・リスク管理の実施状況、委託元からの個人情報の授受記録状況、クリアデスク状況、総務部門なら履歴書の保管状況、鍵管理の記録状況などの確認、情報システム部門ならＩＤ・パスワードの変更状況確認などです。

　内部監査はあくまでもサンプリングですので、規定文書に記載されている項目全てを監査することはできません。各部門毎で重要な内容、代表的な内容を抽出し、チェックシートに記入することです。

　内部監査時は、主にチェックリストに沿いながら内部監査を実施することになります。

　実施中不適合が発生した場合は、その記録状況・実施状況を後で検証できるように記述します。

　その内容に基づき是正措置を講じることになります。

 

　各審査機関から申請するための申請書を取り寄せる必要があります。ＪＩＰＤＥＣへ申請する場合は、
http://privacymark.jp/application/new/doc/new2006.doc

からダウンロードすれば、申請書を入手することができます。

申請書のチェック欄に沿って記載すれば漏れはないでしょう。

　他に就業規則の賞罰欄にプライバシーマーク関連が記載されているページをコピーすることが必要です。紙媒体だけでなく、できるだけＣＤ、ＦＤなどのデジタルデータも送るようにしたほうがよいでしょう。

　社印は、角印ではなく、代表者印を押印する必要があります。

　プライバシーマークの現地審査は、申請してから概ね３ヶ月（平成１９年１２月現在）位経ってから実施されます。（ＪＩＰＤＥＣの場合）

 　現地審査員は、受審企業規模によりますが、２～３名もしくはそれ以上です。

 　9：00～16：00・17:00ごろまでのほぼ１日かけて行われます。

　審査内容は、代表者への質問、規定文書に沿った実施状況・記録状況の確認、規定文書の確認、最後に不適合事項の確認などが行われます。

　10日～２週間後に審査結果が郵送され、３ヶ月以内にその是正内容を策定し審査員に返答します。この返答が速ければ速いほど、プライバシーマークの認定は速いことになります。

　リスク分析やその管理策はどのレベルまで行えば良いのですかと時々尋ねられます。 　基本的な考え方は、個人情報を有する本人が漏えい、滅失、き損などの事故・事件が起きた場合の影響をできるだけ少なくできるようにすることです。特に、企業からの視点ではなく、情報を有する本人の視点から考えることが重要です。たとえ事故事件が発生してもその影響をできるだけ少なくするようにすることです。 　全てのリスクを取り除くことは困難ですので、発生した場合の影響が大きいと思われるリスクから重点的に行う事が必要です。 　また、実際身近に起こりそうなリスクを発生させないようにすることも大切です。たとえば電子メールやＦＡＸなどの誤送信を発生させないようにすることです。これは結構発生しやすいことですので、原則２人で確認し合うとか、送信後に相手先に確認するなどが必要でしょう。 　最近は、従業者や委託先からの漏えいによる事故・事故が多くなっています。誓約書や委託契約書などの書面による対策も必要でしょう。 　ですから、各企業が重要と思われるリスクを中心に、実行可能な管理策を立てることが大切です。

１． 豊富な実績、最新の実績を有していること。

　そういった実績に基づきコンサルティングを受ける企業の現実を理解し、その企業に適した最も良いサポートを実現することができます。

　一方、「プライバシーマーク」を取り巻く環境は日々変化しています。その流れを敏感に反映したコンサルティングを行うことが必要になります。

　そのためにも、最新の審査結果を反映したコンサルティングを行っているコンサルティング会社を選ぶことが必要でしょう。

２． やるべきことを明確に助言してくれること

　コンサルティングを受ける企業およびコンサルティング会社共に、お互いに行うべきことを明確にしていることが大切です。

　特に、最近は、プライバシーマークを取得すること自体が目的となって、全面的にコンサルティング会社でやって欲しい・・・といったことを聞くことが稀にあります。

　これでは、例えプライバシーマークを取得しても、実際の運用、２年後のプライバシーマーク更新がうまくできなくなる可能性が大きいと言えます。

　一定のプライバシーマーク維持レベルまでスキルを向上させてくれるコンサルティング会社を選ぶことが必要でしょう。

３．質問に丁寧の答えてくれるコンサルタント

　企業の担当者にとって、プライバシーマークの内容は決して簡単な内容だけではありません。

　理解度が深まるにつれ、疑問点が出てくるものです。

　そんな時、電話や携帯電話、電子メールなどで、適時問合せに応えてくれるコンサルタントがいれば

安心です。 

　打合せの時でないと質問できないとなると、せっかくのやる気も失せてしまいがちです。

４． その他

　常に最新のプライバシーマーク取得状況に基づいたホームページ掲載を心がけていることも考慮すべきでしょう。

　JISQ15001の1999年版で使用している『ＣＰ（コンプライアンスプログラム）』という言葉を用いてコンサルティング活動を説明していたり、Ｐマーク認定企業数を何ヶ月も前の数字で記載しているコンサルティング会社を時々見受けられます。

　それよりも、2006年版で使用している『ＰＭＳ』で説明していたり、最新の認定企業数を掲載しているコンサルティング会社を選ぶべきでしょう。

◆体制、習熟度などによりますが、従業員数が約５０人以下の小規模企業・中小企業の場合は次の通りです。

 　取得期間は、このＰマーク取得にある程度時間を割けられる場合は、ＪＩＰＤＥＣへの申請までで５～６ヶ月、申請後の審査～認定までが４～５ヶ月で合計９～１１ヶ月位でしょう。

　Ｐマークだけに専念できると仮定した場合、最短で申請まで２～３ヶ月、申請後以降認定までが４～５ヶ月で合計６～８ヶ月でしょう。

　現状、申請～現地審査まで約３～４ヶ月の待ち時間が発生していますので、取得期間は少なくとも６ヶ月以上はかかるかでしょう。

　今までの例で言いますと、通常の業務が忙しくてＰマークだけに専念できない時期が少なからずあり、概ね１年というケースが多いでしょう。

◆ＰＭＳは、Personal information protection management systems の略称で、個人情報保護マネジメントシステムを指します。

 　JSQ15001:2006で、「事業者が、自らの事業の用に供する個人情報について、その有用性に配慮しつつ、個人の権利利益を保護するために方針、体制、計画、実施、点検及び見直しを含むマネジメントシステム」と定義されています。JISQ15001の２００６年版で使用され始めた用語です。

　一方、ＣＰは、コンプライアンス・プログラム（Compliance Program）の略称です。 　

　JISQ15001:1999で、「事業者が自ら保護する個人情報を保護するための方針、組織、計画、実施、監査及び見直しを含むマネジメントシステム」と定義されています。JISQ15001の１９９９年版で使用されていた用語です。現在は、使用されなくなりつつあります。

そもそも情報の漏えい、滅失、き損が起きるのは、所有しているからです。ですから、個人情報は必要がなければ、廃棄するのが望ましい訳です。

ですからできるだけ保管期間は、できるだけ短く、本当に必要な個人情報だけ保管するように心がけるべきでしょう。

そう考えると、『永年保管』という考えは、ごく限られた個人情報にならざるを得ません。例えば、定款、会社登記簿などです。他に、商法などの法規上決められた内容により、保管する期限を設定することです。

個人情報は、各企業の『所有物』ではなく、情報主体である本人からの『預かり物』と考えるべきでしょう。

 

 

◆最近の審査状況

 　最近の審査状況は、1年前、半年前と比べると、かなり厳しくなっていると言えます。大日本印刷での個人情報漏えい事件が起きてから、特に厳しいようです。

　一方、指摘事項も審査員によって違うのも事実です。ほぼ同じ規程文書でも、Ａ審査員はＯＫでも、Ｂ審査員ではＮＧということも珍しくありません。

 　審査する重要事項については、JISQ15001理解のポイントに記述してある通りですが、審査員自身の得意なところを聞きたがる傾向があるようです。例えば、ＱＭＳ（品質マネジメントシステム）出身の審査員と情報システム出身の審査員とでは、審査チェックリストに従い審査するといっても、やはり、突っ込みに違いがあるようです。

 　とはいっても、大筋では共通する審査レベルはあるようです。受診企業が認定後、ＰＤＣＡのマネジメントシステムを回すことができるか、リスクアセスメントを一定のレベルで行えるか、本人の同意を正しい手順で実施できるかなどです。

 　詰まるところ、企業側が、どれほど真剣に自社のこととして、JISQ１５００１の要求事項を消化しているか問われるようです。やはり、このことはしっかり押さえる必要があるでしょう。

１．個人情報の「取得・利用・提供」時の同意
　　個人情報を当初の取得時の利用目的の範囲を越えて、利用したり、第三者提供する時は、原則として本人からの同意が必要です。事前にWeb上や会社案内等で利用目的を明示して、本人から同意を取る必要があります。

２．リスクアセスメントの重視
　　個人情報を特定して、リスク分析を行い、その管理策を講じますが、リスク分析では、個人情報のライフサイクル（取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄）に沿って脅威を洗い出す必要があります。業務プロセスの作成は必ずしも必要ではありませんが、業務の流れを把握しておかないと、個人情報の特定時に漏れを生じることになりかねません。

３．「本人からの開示等の権利」への対応
　　本人から、本人自身の個人情報の開示、訂正、利用停止等の要求があった場合、遅滞なく対応しなければなりません。もし、本人の要求に応えることができない場合は、その理由を本人に連絡しなければなりません。

４．安全管理対策
　　入退室管理、盗難防止策、パスワード管理、アクセス制御、アクセスログ管理、不正ソフトウェア対策、個人情報の授受管理及び機器の持出管理などが重視されます。ＩＳＯ２７００１の要求事項までは要求されませんが、リスクアセスメント結果に沿った対策が必要です。

５．委託先の監督、委託元の管理
　　近頃、委託先からの個人情報漏えいが多発しているためか、委託先の監督はかなり重要です。旧JISでは、「委託処理に関する措置」と呼んでましたが、新ＪＩＳでは、「委託先の監督」とかなり重視していることが伺えます。委託先との個人情報に関する契約書の締結は必須で、その中に損害賠償や委託先からの管理報告の内容や頻度まで記載する必要があります。
　　さらに、委託元に対しても、本人から同意を得て正当に取得した個人情報かを確認する必要があります。

６．是正措置及びマネジメントレビューの一連の対応
　　是正措置は、内部監査に対してだけではなく、外部機関による審査、リスクアセスメント結果、緊急事態の発生、苦情、運用の確認などに対しても行う必要があります。ここで発見された不適合に対しては、是正措置あるいは予防措置を講じることになります。これらの結果をマネジメントレビューに繋げて、一連のＰＤＣＡサイクルを実現することになります。
　　

◆プライバシーマークを取得する上で特に必要な法令・規格・ガイドラインは下記から入手できます。

①個人情報保護マネジメントシステム-要求事項（JIS Q 15001：2006）（（財）日本規格協会）

②JISQ15001:2006をベースとした個人情報保護マネジメントシステム実施のガイドライン第１版（ＪＩＰＤＥＣ）　

③個人情報の保護に関する法律（個人情報保護法）（内閣府）　

④個人情報保護に関する法律についての経済産業分野に関するガイドライン（経済産業省）

⑤各都道府県の個人情報に関する条例（東京都の場合）
　

その他に必要な基準等は、次の通りです。
⑥コンピュータ不正アクセス対策基準、コンピュータウイルス対策基準、ソフトウェア管理ガイドライン（経済産業省）

⑦雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針（厚生労働省）

◆コンサルティング会社の選び方

 （１）自社の規模に見合ったコンサルティング会社を選ぶ

　コンサルティング会社の選び方として、先ず第一に、自社の身の丈にあった会社を選ぶことをお勧めします。中小企業や零細企業が、上場しているようなコンサルティング会社を選ぶことはお勧めしません。

　大規模なコンサルティング会社は、それなりに組織力がある故、間接費が高く、例えば、１００万円で済むところが、管理費などの費用などにより、１５０万円、２００万円と同じ結果を求めるのに、余分な費用が発生する可能性が大きいでしょう。

　しかし、中小企業、零細企業等の場合は、余分な経費をかけずに、しっかりとコンサルをしてくれる自社に見合うコンサルティング会社をを選ぶことをお勧めします。

　逆に、大企業は、それなりに企業力のあるコンサルティング会社からコンサルを行う方が良いでしょう。多くの場合、組織力で対応してくれますので、そういった意味での”安心料”を払っても、名のあるコンサルティング会社を選ぶ方が良いでしょう。

（２）最新の現地審査結果を取り入れて、テンプレート（規程類文書）をメンテナンスしている会社を選ぶ

　　審査レベルや方法は、３～４ヶ月単位で変化しています。その時々の漏えい事件や、社会状況などで見直しが図られているからです。

　できるだけ、最新の現地審査結果を反映されたテンプレート（規程類文書）を使用しているコンサルティング会社を選ぶことです。

（３）いろいろのコンサルティング会社を比較する

　ある程度コンサルティング会社を絞り込んだら、念のためコンサル内容、実績、担当コンサルタントなどについて、コンサルティング会社と直接会話を交わしことが大切です。

　その、面接の中で、自社にとって本当にプラスになるかどうかをあせることなく、見極めることが大切です。

 

　自社だけで各規程類や記録類を作成するのか、外部のテンプレート（見本）などのツールを使用するのか、あるいは、コンサルタント等を活用するのかを決めることです。

　各種ツールを用いて自社内で構築し、多少不安な面をコンサルタントに依頼するのであれば、経済面で有利であり、自社内でもノウハウが蓄積されることになるでしょう。

　稀に、文書作成も含め全面的にコンサルタント等に依頼するケースが見受けられますが、認定後の運用に対する技量・認識が不足しがちで、２年後の更新審査は厳しい状況であることが予想されます。

　やはり、プライバシーマークの運用はマネジメントシステムであることを理解しておく必要があります。計画⇒実施・運用⇒点検･内部監査⇒見直しの一連のサイクル通して、自社に適したマネジメントシステムを実現するのですから、主体的に取り組むことが不可欠です。

　プライバシーマークは個人情報を扱い全社でその運用を図らなければなりませんが、ISO27001は情報全般を扱い一部署だけの運用も可能です。

　一番大きな違いは、前者が本人の視点から情報を保護するのに対し、後者は企業自身の視点で情報を保護するという点です。

　ですから、「本人の同意」や「開示等の権利」については、前者は特に強く要求しています。同時取得時は、この違いを考慮して行う必要があります。

　(財)日本情報処理開発協会では、更新申請締切を平成20年11月19日までとしています。

　現状、申請日から現地審査まで３～4ヶ月、現地審査から指摘事項最終確認まで少なくとも１～2ヶ月かかることを考慮すると、できるだけ前倒しして申請することを勧めます。

◆最新の審査結果を反映させたテンプレートを活用する
　　最近の書類審査結果、現地審査結果を反映させてプライバシーマーク取得のためのテンプレートを活用して、自社運用に合わせることです。短期間で効率よく、規程文書を作成することができます。

◆経験豊富なコンサルタントからのアドバイスを受ける
　　プライバイーマーク取得のための審査レベルは、日々上昇しています。経験豊富なコンサルタントから直接アドバイスを受けることをお勧めします。特に、最新の審査結果状況を把握しているコンサルタントからアドバイスを受けることをお勧めします。

◆自社の繁忙期を避けて、比較的時間の取れる時期に行う
　　プライバシーマーク取得には、個人情報の洗い出し・リスク分析、規程文書作成、記録文書の記入など、一時的集中的に作業したほうが良い項目があります。繁忙期にぶつかって、作業がなかなか進まないことにならないよう、繁忙期での作業を避けたスケジュールを立てて行うことをお勧めします。

◆個人情報保護管理者は、役員クラスの人を任命する
　　プライバシーマーク取得のために作業には、現場の方の協力が不可欠です。また、取得後においても、運用、点検、改善などにおいても、全社的な運営が必要です。そのためにも、できるだけ、役員クラスの責任者を任命することをお勧めします。　　

　量、質共に大幅に拡張されました。大雑把に言えば、３倍以上になりました。

大きな特徴は、

１．個人情報保護法を全面的に取り入れたことです。

　　１９９９年版では、”暗黙の了解”の感があった内容を明確に打ち出しました。

 ２．個人情報の取得・利用・提供時の本人の同意、開示等の権利が大幅に強化されました。

　　本人からの同意、本人の権利を強く打ち出しています。

 ３．個人情報のライフサイクルによるリスク分析が強化されました。

　　個人情報の各イベント毎の脅威、管理策、管理策の根拠、残存リスク、その管理策・・・と一連の分析・対応策が強く求められます。

 ４．従業者、委託先の管理が強化されました。

　　昨今の従業員や委託先からの情報漏洩が反映され、”管理”から”監督”と表現も代わり徹底した管理が求められるようになりました。

 ５．その他、いろいろ追加されました。

　　緊急事態への準備、運用の確認、是正措置･予防措置などが新たに追加されました。

１９９９年版から２００６年版へ移行する場合、大幅な文書の変更が伴う傾向にあります。２００６年版をベースに１９９９年版の良いところ、残したところを変更することも考慮すべきでしょう。