三つの関門を乗り越えろ!
審査の内容はどんなものでしょう?
申請が済み、いよいよ審査です。認定までの道のりはあと3つ。
1、文書審査
2、現地審査
3、指摘事項改善
第一関門:文書審査
最初の審査は「文書審査」です。これは、必要書類が全て整っているか
・PMS文書が「JIS Q 15001:2006個人情報保護マネジメントシステム―要求事項」を満たしているか
・PMS文書に関連する必要な様式がすべて揃っているか
・従業者教育の実施記録
・内部監査の実施記録
・代表者による見直しがなされたか実施記録
不備等があれば「指摘事項」が送付されてきますので、現地審査までに改善する必要があります。
参考:JIPDECホームページ「3.受取~文書審査」
(参考:外部サイト)
http://privacymark.jp/application/...
第二関門:現地審査
次は現地審査です。本社へ審査員が2名やって来ます。もし、本社以外の場所で個人情報取扱い業務を主に行っている場合は、そちらが審査対象となることもあります。審査は、審査リーダーがメインで聞き取りを行い、もう一名は補佐的な役で記録や確認を行います。現地審査では以下のようなことが行われます。
・代表者へのトップインタビュー
*Pマーク取得の動機や、代表者がこのマネジメントシステムにちゃんと関わっているか、計画への承認や、報告書への承認についてなどが聞かれます。
・PMS文書に沿って「JIS Q 15001:2006個人情報保護マネジメントシステム―要求事項」を満たした規定になっているか、またその内容が実施されているか。
*メインはもちろん、個人情報の管理台帳とリスク分析になります。その他に実際の記録や、報告書、計画書、同意書、運用記録など。
・従業者教育の実施内容のチェック。
*どのように実施したか、どのようなテキストを利用したか、テストやアンケートを実施した場合はその内容、また全従業者に実施したかの人数の確認など。
・内部監査の実施内容のチェック。
*計画書をもとに、どのような方法で実施したか、また実際のチェックリストを見ながら項目の確認、結果の確認、報告書の内容と是正内容など。
・代表者による見直しがなされたか実施記録のチェック。
*全ての報告書が承認され、マネジメントシステムの有効性、その他JISが要求する事項に対して見直しがなされているかなどがチェックされます。
参考:JIPDECホームページ「4.現地審査」
(参考:外部サイト)
http://privacymark.jp/application/...
第三関門:指摘事項
最後の難関は「指摘事項」の改善です。現地審査が終わると、その後2週間以内に審査リーダーから「指摘事項」が届きます。これは、現地審査の結果、「不適合」とされた箇所について改善が求められ、改善を実施しなければいけません。そして3ヶ月以内に、改善報告書と実際に改善した内容で運用した記録または証拠を提出しなければいけません。この「指摘事項」は、全ての申請者に求められるものなので「不適合になってしまったのだろうか…」と落ち込むことはありません。「あなたの会社は認定まであと一歩!ここを改善したらJISの要求事項を満たした個人情報保護マネジメントシステムを構築し運用できていると認めますよ」という前向きな指摘なんだと受け取りましょう。
◆この指摘事項、一回の改善報告で「付与」となることはめったにありません。「再指摘事項」として、提出した報告書の中からまた不足を見つけ出し指摘されます。「再指摘事項なんて、もうダメだ」とめげることはありません。ほとんどの会社が再指摘事項も受けています。指摘事項で記載された以外の新たな項目が指摘されることはありません。あくまでも「指摘事項の不備」分だということです。
参考:JIPDECホームページ「5.認定可否と付与契約」
(参考:外部サイト)
http://privacymark.jp/application/...