初回審査と一味ちがう!更新審査の難しさ
■初回審査との違い
更新審査を受ける事業者はすべてPーク認定事業者です。
すなわちJIS Q 15001:2006に適合した個人情報保護マネジメントシステムが 構築されて運用されているという大前提で審査を受けることになります。初回審査はまだ一度も審査を受けていない状況なので、個人情報保護マネジメントシステムが構築されているかどうかに主眼が置かれます。一方更新審査は構築については一度お墨付きをもらっていることになるので、主眼はその運用に移ります。年間計画に基づいて実施した記録が残されているということは当然のことながら、その内容で運用がなされているかを審査員はヒアリングします。もちろん更新審査期限ぎりぎりになって、つじつま合わせの記録を作ってもすぐにばれてしまいます。
■マネジメントシステム運用の効果
マネジメントシステムとはPDCAサイクルを運用していく為の仕組みです。PDCAサイクルは継続的改善により目的に対する水準を向上させる効果があります。なので一度マネジメントシステムを構築した翌年に全く同じことをしていても意味がありません。更新審査ではPDCAで改善するためのポイントが重視される傾向があります。運用すなわち内部監査です。マネジメントシステムを効果的に運用するには内部監査の有効性が大きなポイントとなります。規格が要求している内容を満たしつつ、独自の工夫により監査を実施して改善のポイントを見いだしている組織は審査において非常に評価は高いでしょう。
■事故に対する是正処置は重要ポイント
初回Pマーク認定から、約1年半以上経ってからの更新審査なので、その1年半の間に漏洩や紛失などなんらかの事故が発生する企業もあるでしょう。事故についてはプライバシーマーク制度のルール上審査機関への報告が必要です。更新審査では、当然その報告内容を予め確認していますので審査員は事故発生後の対応の実施状況を厳しくチェックします。そのときのポイントは再発防止策の実施、また対策が有効に機能しているかどうかになりますが、対応までのプロセスも重要です。
・事故発生時の報告記録
・再発防止策の検討状況の記録(是正処置報告書)
これらの記録の中から代表者が関与しているかどうかが確認されます。個人情報を扱う以上、事故は100%防ぐ事はできません。個人情報保護マネジメントシステム運用の中ではこの事故発生時の対応を代表者も含め会社としてきちんと対応しているか、または事故発生を想定した訓練ができているかが重要な要素になります。