取得活動スタートから申請まで
取得活動をスタートしてから申請までのは通常で約半年近くの期間で進めることが多いです。大まかには、
1.JIS Q 15001:2006が要求しているルールを文書化する
2.文書化した内容を実施する
3.審査機関に申請する
を進めていくことになるのですが、もう少し内容を細かく見ていくことにしましょう。
1、JIS Q 15001:2006が要求しているルールを文書化する
【なぜ文書化しなければならないの?】
まず、そもそもなぜ文書化が必要なのか?ということですが、
・審査では文書化された内容を確認して規格の要求を満たす活動が実施される仕組みが出来上がっているという事を判断する。
・ルールはPマークを取得する組織で活動する全員に周知する必要がある
という点が主な理由と言えるでしょう。ルールが明文化され文書化されていなければ、第三者に自社のルールを評価してもらうこともできないですし、自社のメンバーにルールを守ってもらうために周知することも困難です。
【いったいどういうルールを作ればよいの?】
JIS Q 15001:2006では合計38項目にわたる内容が要求事項としてあげられています。簡潔に言えば、この38項目の内容を自社で実施していくためのルールを作るということになるのですが、ここではこの内容をわかりやすくまとめて解説したいと思います。まずこの38項目を分類すると以下の5つのグループにわけることができます。
・個人情報保護方針…個人情報保護活動を実施していく為の代表者の方針
・計画…個人情報保護活動を実施していく為の計画
・実施、運用…計画した内容の実施及び個人情報保護法を守るための施策
・点検…実施状況の点検及び実施計画・実施内容の適正状況の確認
・改善…計画、実施、点検の結果から、仕組みの改善ポイントを見つけ改善を実施
以上の通り、方針を立てて、その方針に基づいた活動の計画、実施、点検、改善の流れを続けていく為に必要な内容を38項目に分けて要求しています。では、それぞれについてもう少し詳しく解説していきましょう。
【個人情報保護方針】
組織の代表者が掲げる方針です。組織で個人情報保護活動を実施していくということは、その組織にいる全ての従業者が一丸となって活動の目的を理解し推進していなければなりません。そして、この方針は従業者に対して周知するものであると同時に対外的に自社の個人情報保護活動を宣言するものでもあります。方針の中に最低限含めなければならない内容と、さらに従業者に周知、対外的に宣言する方法を取り決め、実施することが求められます。さらに内容を明文化し従業者に周知する方法、また対外的に宣言する方法をルールとして文書化しなければなりません。
【計画】
方針に基づいた活動を推進していくための計画です。個人情報保護活動を推進していく為に、いつ誰が何をどうやって実施するのか、を決めるためのルールです。この計画の段階はPマーク取得活動の中でも最も重要な項目です。
①個人情報の特定
自社はいつどこで個人情報を取得し、どれだけの量が、どこでどういった目的で取り扱われているのかを確認する方法を決めて文書化しなければなりません。
②法令、国が覚める指針その他の規範
自社が個人情報を取り扱う上で関連する法令や官庁・自治体などが定めるガイドラインや条例などはどういったものがあるのかを従業者が知る為の仕組みを決めて文書化しなければなりません。
③リスクなどの認識、分析及び対策
特定した個人情報について自社で取り扱う上でのリスクを分析します。いつどのような場面でどんな事故が発生する可能性があるのか(例えば、個人情報が含まれたデータをメールで送信する際に宛先を誤って第三者に漏洩してしまう。)を想定し、未然にそれを回避する為の対策を決定するための手順を定め文書化します。
④緊急事態への準備
個人情報の漏洩事故やシステム障害により個人情報を取り扱う業務が停止してしまった場合など、緊急事態が発生した時の対応手順を定め文書化します。
【実施・運用】
個人情報保護法を遵守するために具体的に事業者が実施すべきことの手順を決めていかなければなりません。
①個人情報の取得、利用、提供など各取り扱い場面で実施しなければならないこと
具体的に個人情報を取得し利用するにあたって個人情報の持ち主である本人に対して個人情報の利用目的などを明示し、本人の同意を得るための手順を文書化します。
②個人情報の適正管理の為に実施しなければならないこと
個人情報を正確な状態で利用する方法、従業者に不正をさせない方法、業務委託先での事故を防ぐ方法などを具体的に文書化します。
③個人情報保護法で定められている本人の権利を保護するために必要なこと
個人情報保護法では、個人に対して個人情報の開示や利用停止、訂正、削除などを求めることができる権利を与えています。すなわち、個人情報を取り扱う事業者は、個人が個人情報の開示を求めてきた場合それに応じるが義務があります。このような個人からの請求に応じる為の手続きや対応の手順などを定め文書化します。
④従業者教育
計画段階で定めたことを全従業者に周知する為に必要です。従業者教育は最低年1階以上、全従業者に実施する必要があり、その計画・実施の手順を文書化する必要があります。
【点検】
大きく2つの目的の点検を実施します。一つ目は決めた手順やルールが実際に実施されているのかどうかを確認する。二つ目は決めたルールが適正であるのかどうかを確認し、改善すべき箇所の抽出です。
①運用の確認
日常的に確認しなければならない項目を定め、いつ誰がどうやって確認するのかを文書化します。
②監査
内部監査の一連の手順を文書化します。大きく3つの観点で監査をすることが求められており、すべての部門に対して監査が必要です。
(1)文書化した内容は規格が要求していることを満たしているか
(2)実施されている内容は規格の要求を満たしているか
(3)自ら定めたルールが各部門で実施されているか
という観点です。
【改善】
ポイントは代表者の関与です。大きく2つの手順を定める必要があります。
①是正処置、予防処置
日常点検の中で発見された不適合(ルール違反)に対して是正処置を実施する、もしくは事故発生の可能性が発見された際に事故の予防処置を施すことに対しての手順を定める必要があります。必ず代表者の承認というプロセスが必要になります。処置案については必ず代表者が確認し代表者の指示のもと実施しなければなりません
②代表者の見直し
個人情報保護マネジメントシステム運用の大きなポイントです。監査の結果や事業環境の変化、顧客、株主、取引先からの意見など、個人情報保護に関連するあらゆる情報を代表者に報告し、代表者からの改善指示を次回の計画に盛り込みます。代表者への報告内容は具体的に規格化されています。
組織で以上のことを実施していくため、文書化の必要があります。
2、文書化した内容を実施する
ここからは文書化した内容を実施する上でのポイントをご説明していきます。Pマークの審査では文書化した内容を審査することでルールを確認し、さらにそのルールが本当に実施されているかが審査されます。文書化した内容は一定の期間で実施していく内容であり、たった1日の審査ですべてが実施されているかどうかを審査員が現場で実際に確認することはできません。よって、Pマークの審査では実施したという“記録”を確認して、きちんと実施できているんだという判断をすることになります。文書化した内容を実施していく上でのポイントとなるのは、確実に正確な実施記録を残すことが非常に重要なポイントなのです。実際に計画、実施運用、点検、改善のプロセスを実施した場合はおおよそ以下の記録が残っていなければなりません。
・個人情報管理台帳
・リスク分析シート
・関連法令一覧表
・各種同意書
・委託先選定シート
・委託先との個人情報取り扱いに関する覚書
・教育計画書、報告書
・教育受講者一覧表、理解度確認テスト
・監査計画書、報告書、チェックシート
・是正処置・予防処置報告書
・見直し報告書(マネジメントレビュー議事録)
この中でも教育計画書、報告書、監査計画書、報告書、見直し報告書については申請段階で必要な記録なので、これらの記録がなければ申請すらできないということになります。逆に上記の実施記録が出来上がればPマークの申請&審査を受けることが出来ると言えるでしょう。
3、審査機関に申請する
いよいよ申請です。申請には以下の準備が必要です。
【法人の概要に関する書類】
・登記簿謄本・抄本
・定款(コピー可)
・会社概要(パンフレット)
ここまでは審査機関が申請する企業の概要を掴む為の資料です。上記すべてが必須です。これらの資料の情報と申請書類に記載されている内容に誤差が生じていると申請を受け付けてくれません。
【申請書類】
審査機関が提供している様式に基づいて申請資料を作成します。
・プライバシーマーク付与的確性審査申請書
・会社概要
・個人情報を取り扱う業務の概要
・すべての事業所の所在地及び業務内容
・個人情報保護体制
・個人情報保護マネジメントシステム文書の一覧
・JIS Q 15001要求事項との対応表
・教育実施サマリー
・監査実施サマリー
・事業者の代表者による見直し実施サマリー
以上、合計10種類の様式で作成します。JIS Q 15001要求事項との対応表等は文書体系をわかりやすく作っておかなければ、この対応表の記入も困難になるでしょう。文書はシンプルなものがベストです。
【PMS文書一式】
個人情報保護マネジメントシステム運用に関わる文書を一式申請時に提出します。運用上利用する文書様式もまとめて申請します。
この文書をもとにJIS Q 15001:2006の適合状況を審査します(書類審査)。以上がすべて整えばいざ申請です。
申請先の審査機関は制度運営元である一般財団法人日本情報経済社会推進協会(JIPDEC)のほか、各地方に本社が所在する企業の審査をする各地の審査機関です。特定の業種の事業者を会員とする事業者団体等が審査機関になっている場合もあります。まず自社が会員となっている業界団体が審査機関になっているかを確認し、審査機関があればそこに申請するのが良いでしょう。審査機関がない場合は本社所在地が対象地域となっている審査機関を選ぶことになります。業界団体が審査機関になっている場合は業種、業態のことがよく解っている審査員なので審査が進めやすいことが多いです。