Q. プライバシーマークとは?
プライバシーマーク(Pマーク)とは、個人情報について適切な保護措置を講ずる体制を整備していると判断された組織に対して、「一般財団法人日本情報経済社会推進協会(通称JIPDEC)」より付与されるマークの事をいいます。
【参考】JIPDECホームページ:https://privacymark.jp/
プライバシーマーク認証取得コンサルティングに関するよくあるご質問をまとめました。
プライバシーマーク(Pマーク)とは、個人情報について適切な保護措置を講ずる体制を整備していると判断された組織に対して、「一般財団法人日本情報経済社会推進協会(通称JIPDEC)」より付与されるマークの事をいいます。
【参考】JIPDECホームページ:https://privacymark.jp/
「Personal Information Protection Management Systems」の頭文字を取った表現で、個人情報保護のための仕組みを意味します。日本語では、「個人情報保護マネジメント・システム」と呼ばれています。個人情報を保護するためのルールや物理的な対策の集まりとご理解ください。JISQ15001には、このPMSの構築と運用の要求が記載されています。
プライバシーマーク制度における要求事項であるJISQ15001では、
「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述によって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む)」とされています。
例えば、個人を識別できるようであれば、メールアドレスなども対象となります。
ただし、個人情報の保護に関する法律(個人情報保護法)とは若干定義が異なりますので、ご注意ください(個人情報保護法では生存している個人の情報が対象ですが、JISでは死去されている個人の情報も対象となる等)。なお、その他にも、JISでは、個人情報保護法よりも厳格な定義がなされている論点があります。
プライバシーマークが個人情報の保護をテーマとしているのに対して、ISO27001は、情報セキュリティリスクのマネジメントをテーマとしております。また、ISO27001で言う情報資産は、個人情報を含んだ情報全般を対象としています。
「社員の顔写真を、社員の同意を得ずにホームページに掲載すること」などは、よくある目的外利用です。
ただし、特定個人情報については、たとえ同意を得たとしても法で定められた一定の利用目的以外には利用することができません。例えば、特定個人情報(マイナンバーを含む情報)を、社員番号として管理のために利用することなどは同意を得ても不可です。
入札条件になっていたり、顧客によっては取引条件になっているケースがあります。また、業界によっては、非常に多くの企業が取得しているため、差別化される可能性があります。
初回登録から2年間です。さらに、更新するたびに更新日から2年延長されます。
プライバシーマークを取得するだけであれば不要です。ただし、プライバシーマークを取得できるかどうかとは関係なく、リスクマネジメントとしては有効なケースがあります。ご予算や業務負荷などを考慮してお決めください。
Windows等のOSの立ち上げ時のパスワードは、必須ではありませんが、プライバシーマークの取得を目指す場合には、必ず検討するポイントのひとつです。
「持ち出し禁止」というわけではありませんが、パスワードの導入検討と同様に、プライバシーマークの取得を目指す場合には、必ず検討するポイントのひとつです。
一般的には、業務内容や業務効率等を考慮して、パソコンの持ち出し可否、および可とする場合は持ち出し機器の限定、期間、用途、使用場所などを考慮しください。
不採用者の履歴書は、必ずしも返却する必要はありませんが、一般的には返却することが多いです。
利用する必要が無くなった個人情報は、速やかに削除か返却することを推奨します。
在宅勤務を奨励しているという理由だけで、審査で不適合が出ることはあり得ません。
在宅勤務で個人情報を取り扱うことがあるのならば、それに伴うリスクを特定し、リスク対応がなされていれば問題は無いとお考えください。
レンタルオフィスだからという理由だけで、審査において不適合を受けることはありません。原則として、リスクが適切に特定され、適切に対応されていれば問題はありません。
ただし、審査時に周囲に音声が筒抜けであったり、視覚的に丸見えであるようなケースは、審査自体が成立しない可能性があるのでご注意ください。
メールの添付ファイルに対して具体的な要求はありませんが、検討することが多い論点のひとつです。
これも特定されたリスクとそれをどのように評価するかによって対応が分かれます。
特定の情報についてはメール添付禁止というケースもありますが、
といった対策が考えられます。
メリットには二面性があります。
1.マークを取得すること自体のメリット
2.マークを取得するための過程のメリット
審査費用が定期的にかかります。デメリットは言い切れませんが、個人情報保護法よりも高レベルな要求があります。
最低2人の従業者がいらっしゃれば取得可能です。
プライバシーマーク取得するためには、「個人情報保護管理者」「監査責任者」を兼任せずに任命する必要があるからです。なお、従業者には役員、出向者、アルバイトなども含まれます。
過去事例では、社長自らがおひとりで頑張ってPMSを構築されたケースもありますが、一般的には複数名でプロジェクトチームを組まれることが多いです。
必須ではありませんが、専従できるということはより多くの時間をプロジェクトに割けるということなので、短期間でマークを取得することができるかもしれません。
なお、過去事例で専従者を設置されたケースは、ほとんどありません。弊社では取組体制に応じて支援内容を調整しております。
ISOとは違い適用範囲という概念がありません。そのため、必ず組織全体を対象とする必要があります。
難しい論点ですが、負荷を減らすという考え方ではなく、「負荷を増やさない=身の丈で取り組む」ことが重要です。どちらかと言えば裁量の余地が少ない制度なのですが、やりようはあります。
取組開始時点で既に要求に適合している論点もあるはずなので、それらを生かした取組をすることもできます。
難しいのは、「どこまでやれば適合と言えるのか」という判断です。事業内容その他環境によっても変わることがありますので、ご支援の際にはそれを加味してご提案やアドバイスをさせていただきます。
まず審査機関を選びます。どのような審査機関があるかは、JIPDECのページをご覧ください。審査機関によっては、事前に入会手続きが必要です。
次に申請書類を作成します。どのような申請書類が必要かは、各審査機関のホームページに公開されています。JIPDECに申請する場合は、こちらをご覧ください。なお、審査機関によって申請書類の様式が異なるためご注意ください。
申請書類ができたら審査機関に提出します。審査機関によっては、オンライン申請を受け付けているところがあります。
申請が受理されると、審査機関から申請料金の請求があります。お支払いいただくと、文書審査が実施されます。
プライバシーマークを取得するために必要な期間は、「取組目的」「対象組織の規模」「取組体制」「現在の統制状況」「審査機関の選択」等の要素によって変動します。目安は6ヶ月~とお考えください。
なるべく早く取得を希望の場合、「審査機関の選択」「審査申請までの期間短縮」がポイントとなります。
審査機関は任意で選択することができますが、業種や地域によって制限がございますので、ご注意ください。なお、審査機関は、審査の度に変更することが可能です。
プライバシーマークを取得するための費用は、(1)審査費用、(2)支援費用(コンサルティング費用)、(3)設備投資費用の3種類です。それぞれ、内容によって異なりますので、ご相談ください。
ある程度のセキュリティ対策は必要ですが、ISOと比べると比較的明確に内容が決まっています。
オフィスを他社と共有しているというだけでマークが付与されないということはありません。物理環境がネックになるケースは稀です。ただし、その環境に応じたリスク対策が必要となります。本ケースだと、例えば該当する他社と、
といったような対応が有り得ますが、全てを実施する必要はありません。逆に他の対策を考える必要があるかもしれません。オフィスを移転されたり、新たに設置されるタイミングで、レイアウトなどのご相談をいただくこともあります。
Mustは無くともBetterはありますので、気になる場合はご相談ください。
ケースバイケースで変わりますが、数百ページになるようなケースは稀です。例えば、組織の規模が大きな企業だと、関連するその他の内規の量が多くなり、結果的に文書ボリュームが大きくなることはありますが、通常は、規程単体で見ればせいぜい数十ページ程度です。それに記録様式が加わっていくとお考えください。また、閲覧のし易さや他の内規との関連で、分冊したりしなかったりといった違いは生じます。
最低限、自社の個人情報保護方針の内容、個人情報保護マネジメントシステム(PMS)に適合することの重要性や利点、PMSに適合するための役割・責任、PMSに違反した際に予想される結果を、少なくとも年に1回、全従業者(社員など)に認識させることが要求されます。
毎年同じ教材を使用して社員研修を開いてもかまいませんが、更新審査で指摘される可能性があります。そもそも毎年同じ内容の教材だと教育内容がマンネリ化し、教育効果が低下する恐れがあります。情報の刷新や事例の差し替えなどの工夫が必要となります。
「事故を起こした=プライバシーマークが付与されない、更新できない」というわけではありませんが、審査申請を受理されないケースがあります。
また、既にプライバシーマークが付与されている場合、事故の社会的影響をJIPDECが評価し、場合によっては使用許諾が取り消されることがあります。
トップマネジメントへのインタビュー、個人情報保護管理者や推進事務局へのインタビュー、各部門へのインタビュー、オフィスの物理的環境の確認(サイトツアー)などを行います。
文書審査の基準に照らし合わせて、審査申請時に提出した文書の審査基準との適合性を審査します。
なお、この審査時には審査員の訪問はありません。
また、提出した文書上のみで判断できない項目は、現地審査にてあらためて審査することになります。
一般的には、従業者に対して効果測定テストを行い、点数で評価するという手法が多いです。この手法が用いられるのは、「実施するのが簡単だから」という理由です。
ただし、より実効性の高い効果測定に取り組むのであれば、教育の目的をあらかじめ明確に設定し、その目的を達成しているかどうかという観点で効果測定することになります。
その場合、普段の行動の観察や、定期的な点検の結果等で測定するということもあり得ます。
なお、蛇足ではありますが、定性的な測定をするのであれば、効果測定する側の人員の力量も重要になります。
内部監査は、一般的に一者監査と呼ばれており、お客様等の利害関係者や審査機関等の第三者機関ではなく、自組織が自ら行う監査を意味します。
また、監査とは、監査基準に対して適合しているかどうかをチェックする活動ですが、適合しているかどうかの判定だけでなく、有効かどうかも併せて確認することもあります。
内部監査の実施には「自己監査の回避」等の一般原則がありますので、それらに抵触しないようご注意ください。
なお、プライバシーマーク制度においては、内部監査責任者を任命することが必須条件ですが、必ずしも内部監査責任者自らが直接監査を行わなくてはならないというわけではありません。
一般論で言えば有り得ます。
例えば、内部監査を行っていない等、そもそも要求事項に適合していないような分かり易いケースはもちろんですが、注意喚起の意味をこめて「主体性がないと判断された場合」という例が公表されています。
構築したPMSを運用していただきます。具体的には、教育や内部監査、マネジメントレビュー、リスク分析結果の見直し、委託先の評価といった活動などが該当します。
プライバシーマークの有効期限は2年です。プライバシーマークを取得してから2年毎に更新審査があります。
更新審査を受けるタイミングは、プライバシーマークの有効期限の8カ月前から4カ月前までの期間ですのでご注意ください。
基本的には、初回審査と同じですが、詳細は次の質問をご覧ください。
まずは、前回の審査以降、自社の何が変わったのかを把握することが肝要です。例えば、
といった変化を把握し、それぞれ変化に応じた対応が必要となります。
具体的には、事業内容が変わり、取り扱う個人情報の種類が増えたり、個人情報の取扱い手順が変わったとなれば、リスクが変化する可能性があるので、リスク分析の結果を見直す必要があります。
審査の際は、前回審査からの変化を確認し、それをトリガーとして様々な質問をされる可能性があります。すなわち、皆様は変化の内容を把握し、適切な対応をとる必要があるということです。
プライバシーマーク取得後の主だったコンサルティング内容は、内部監査実施、従業者教育実施、代表者による見直しの実施支援などさまざまです。
教育の内容はお客様の目的に応じて設計いたします。「ルールや手順の周知」「知識の共有」「従業者の啓発」を目的とした研修が一般的です。
PMS運用推進担当者が退職などの理由で不在になってしまった場合や、多忙で自社運用がまったく出来ないなど、お客様のおかれている状況によっては、コンサルタントによる支援をご要望いただく場合がございます。
更新のみのコンサルティングも、もちろん承ります。
料金は支援の内容や量によって変わりますので、都度お見積りさせていただいております。ご遠慮なくお声がけください。
付与契約を解除(または「はく奪」ということもあります)されることはあります。過去には、大量の個人情報を流出・漏えいしたケースで付与契約を解除された事例があります。
なお、事件・事故を起こしたことが即付与契約解除につながるわけではなく、JIPDECによる事件・事故の重大性判断の結果によります。
大前提として、更新申請期限を迎える前に、審査機関にご相談ください。とはいえ、有効期限を過ぎてしまい、かつプライバシーマークが必要な場合は、申請のやり直しとなります。
プライバシーマークの取得にて、コンサルタントに支援を依頼すると、「時間を短縮することができること」「オーバースペックを回避することができること」などのメリットがあります。
外部からの支援無しで取得された組織はたくさんあります。取得できるかどうかという点においては、効率性や完成度(主に身の丈に合っているかどうか)を無視すれば、十分可能です。
逆に言えば、支援の価値は効率性の向上やPMS運用のし易さ向上にあると言えます。
プライバシーマーク取得を目指される企業様は、何に重きを置かれるかでコンサルタントに依頼するかどうかをご判断ください。
もし、プライバシーマークの取得に向けて、何から始めたらよいのか判らない場合にも、コンサルタントにご相談ください。コンサルタントがトップマネジメントやPMS担当者の知識不足を補い、スムーズな取得が可能となります。
必ず取得できるとは言い切れません。
幸いなことに、現時点(2019年10月現在)では合併等の組織再編や親会社からの指示等でマーク取得活動自体を途中で断念された例を除き、弊社でご支援したお客様は全てプライバシーマークを取得されています。
ただ、審査前に重大な個人情報漏洩等の事故を起こした場合は、そもそも一定期間審査を受けることができないことがあります。また、以前認定機関からもアナウンスがありましたが、PMS構築運用活動自体に主体性が無いと判断された場合は審査に通らないとされています。具体的には、全面的に作業を業者に代行させたようなケースが該当します。
コンサルティングを導入すると、プライバシーマークを早く取得することができる可能性が極めて高いです。規格要求の解釈等で迷う時間が無くなり、余計なことをせずに済む分効率化できます。
ただ、当社のスタンスとしては、取得スピードが全てではなく、取得に試行錯誤されたとしてもノウハウ蓄積や人材育成の価値はあると考えております。
規定類・記録様式のサンプル提供、規定類の修正内容のレビューなどをご支援いたします。また、場合によってはある程度の作業を承ることもできます。
ただし、全面的に作業代行をしてしまうと、皆様の規格要求等の理解が追い付かないケースがありますので、ご支援するほうも注意が必要と考えております。
様式の提供、リスクやリスク対応例の案内、成果物のレビュー等を行います。また、作業支援についてはやはり規程類の策定と同じです。
教育資料の提供、研修の実施などを承ります。必ずしもセットである必要は無く、教育資料の提供のみといった支援も承ります。
内部監査の立会・代行(現地審査対象拠点)や改善策、内部監査の立会・代行対象の拡大や内部監査記録の作成を承ります。
ご要望があれば、オプションサービスとして立ち会いや記録の作成をさせていただきます。
必要な申請書類の説明、作成方法の説明、作成された申請書類の確認等を承ります。
事前に審査傾向を案内したり、場合によっては現地審査前に模擬審査を承ります。
また、審査後には指摘事項の改善策を提案したり、作成された改善報告書の確認等を承ります。
規程類の策定のみ、教育のみ、内部監査の立ち会いのみといったように支援の範囲を絞るとそれに応じた料金で支援をご提供しております。
また、ご支援の程度によっても料金は変わります。例えば、内部監査の手法をご説明するだけなのか、それとも立ち会いまでするのかといった具合です。
さらに、支援の形式を変えることでも料金は変わります。例えば、直接訪問に代えて一部の支援をテレビ電話会議などで行うといった具合です。例えば、最初の調査と現地審査前の模擬審査だけを訪問支援で行い、あとはテレビ電話会議といったご支援も可能です。その場合、訪問に要する時間を節約することができるので、その分安価な料金で支援をご提供しております。
プライバシーマーク取得コンサルティングの費用は、取組目的や支援期間、対象組織規模・事業内容、他認証の有無・既存規定等の量、支援範囲、支援内容(支援の程度)、訪問支援/遠隔支援の頻度などによって決まります。
当初の前提よりも対象事業、組織規模が拡大したりすることによって、支援範囲や支援内容が変更になった場合は、追加料金を頂戴することがあります。
ご要望があれば、事前に顔合わせさせていただきます。
承ります。なぜ、そのコンサルタントを乗り換えたいのかを教えてください。