Pマーク取得更新に関する本音質問

過去に相談を受けた内容を公開します。是非、ご参考にしてください。
コメントは情報提供を目的として弊社の見解を示すものであることをご理解ください。
情報の正確性・完全性について保証するものではありません。
コメントは現時点でのものであり、今後変更される場合がございます。


同意取得について、以前から保有しているデータに同意は必要ですか??

プライバシーマークの取得において、直接本人から取得する個人情報については、明示的な同意が必要です。
しかし、ずっと以前から保有していてるデータについてはJIS要求事項(3.4.2.4 本人から直接書面によって取得する場合の措置)の内容を満たした内容で同意を得ていません。
実際に再度全員に同意書を送り、明示的な同意を取得することは非現実的であるため、Pマーク運用を始めた日からの同意取得で構いません。


同意取得について、例えばメールを通知して返信がなかった場合に同意を取得したことになりますか?

同意を取得したことにはなりません。
JISQ15001の要求事項の解説には下記のコメントがあります。

『通知後一定期間内に本人の応答が無い場合に同意があったものとみなすことも原則として不適切である。』


1人でもプライバシーマークは取得できますか?

一人ではNGです。個人情報を保護するためのマネジメントシステムを構築・運用・監査する必要があるので最低でも3名は必要です。(経営者、個人情報保護管理者、個人情報保護監査責任者)


個人事業主として屋号を届け出て営業しています。Pマークは取得できますか?

従業員を雇用し、組織体としての実態があれば、個人事業主もプライバシーマーク付与の対象となります。

事業部単位での認証は可能でしょうか?

プライバシーマーク発足時は事業部認証でOKでしたが、現在は全社認証のみとなっています。
理由としては、たとえばお客様の個人情報はしっかり守るがそれ以外の個人情報はしっかり管理しなくても良いということは、個人情報保護ポリシーの内容と矛盾するためと考えます。
審査機関のQ&Aにも、申請は"法人単位"と明記されております。


無料の教育ツールはありませんか?

あります。個人情報保護の啓蒙研修としては大変よくできたビデオツールがあります。 こちらで公表しているので、是非ご参考としてください。

>> 教育で使える無料ツールのご紹介


Pマークの現地審査について教えてください。どのような内容でしょうか?

現地審査は約6時間の長丁場です。下記は実際に審査官から案内メールの転記となります。
このようなスケジュールで現地審査は行われます。

11:00~11:20
代表者、関係者挨拶
代表者へのインタビュー
【個人情報保護への取り組み、保護の体制、 マネジメントレビュー他について、代表者のお考えをお聞きする。】

11:20~15:50<途中、お昼休憩を1時間挟みます>
個人情報の取り組み状況確認・質疑
【御社の事業内容、取扱う個人情報の流れ(収集・利用・保管・外部委託・廃棄・返却等)について、個人情報保護管理者を中心に確認・質疑を行う。】

15:50~17:20
現場での運用状況の確認・質疑
【PMSに基づく運用が行われているか、記録類の 確認と合わせ、運用状況(特に安全対策等)の確認を行う。】

17:20~17:45
書類審査についての確認

17:45~18:00
総評 審査終了挨拶


Pマークに準拠するには、直接取得する個人情報は全て同意が必要ですか?

JISQ15001:3.4.2.4 「本人から直接書面によって取得する場合の措置」に準拠するために、直接取得する個人情報については本人の同意が必要となります。
従業者においても雇用管理において個人情報の利用が発生するので本人の同意が必要となります。
なお、名刺交換については、相手先にアポイントの調整などで電話を行う行為であれば、例外事項の「取得の状況からみて利用目的が明らかであると認められる場合」にあたりますので同意は不要となります。


音声録音を行っていますが、個人情報として管理する必要がありますか?

音声は個人情報です。
通信販売事業者やコールセンターで音声録音を行っている事業者様が多くありますが、かならず審査上、録音を行うことについて本人の同意を得ているか確認されます。
同意は電話を掛けてきた本人と電話のオペレーターの両方が必要となります。


PMSとは、なんの略語ですか?

Personal information protection Management Systemの略語になります。
個人情報保護マネジメントシステムの略称として『PMS』を使用していくことについては審査機関の事務局も公的に発表しております。

http://privacymark.jp/privacy_mark/faq/pms.html


他社のホームページには『かんたんPマーク』とか『2ヶ月申請』ってありますが本当ですか?

検索サイトで『プライバシーマーク』と検索するといろんなコンサルティング会社が出てきますね。
「かんたんPマーク」「2ヶ月でPマーク申請」「5回訪問コース」などなど。
プライバシーマーク関連語句で検索したユーザーに興味を、ググッと持たせるような内容です。

私からお伝えできることは、どのようなすばらしいコンサルタントの方が指導されるか解りませんが、プライバシーマークの要求レベルは高く、担当者にJISQをすぐに理解させることは大変難しいことです。
5回の訪問で取得まで進めていくなんて、この仕事を長くやっていますが「どうやって?」と聞きたいぐらいです。

私の口からは「プライバシーマークは簡単に取得できますよ!」とは、なかなか発することができません。
私が発行しているメルマガのタイトルでも、「中途半端なプライバシーマークはやめなさい」と、記載しています。
コンサル会社の「簡単に取得できますから!」という言葉に従って、気軽な気持ちでマークを取得して、あとあと大変な目にあっている会社が多々あります。
私のところにも会社の実態に即していないテンプレートで、急ぎ早やに申請して、合格は出来たが失敗だった・・・という企業様からのコンサル乗り換えの相談も増えてきていることも事実です。

一度取得したマークは、なかなか"やめる"ことはできません。
今まで名刺にあったマークが急になくなるので、体外的に説明が難しいです。
まず、本当にプライバシーマークが必要が検討してみてください。
次に、あまりコンサル会社のホームページなどのフレーズに惑わされないほうが良いと思います。
要は担当となる保護体制の構築担当者と監査を行う人のレベルが、その会社の個人情報保護レベルになりますので、熱心に熱く指導してくれるコンサル会社を選定されることをお奨めいたします。


プライバシーマークの担当者になりました。どの書籍で勉強したら一番良いですか?

下記の書籍はプライバシーマークの元審査官であり、JISQ15001の規格策定メンバーが著者の書籍となります。
あれこれと手を出さず、まずはこの本一冊をすみずみまで理解されることが良いかと思います。

個人情報保護マネジメントシステム要求事項の解説―JIS Q 15001:2006


従業者は役員を含め5名ですが、プライバシーマークは取得できますか?

取得可能です。弊社において過去4名の従業者での取得実績がございます。


プライバシーマーク審査費用について

プライバシーマークの審査に関する費用については、下記の審査機関のページにて公開されています。

http://privacymark.jp/application/cost/index.html


内部監査部門も監査を行う必要がありますか?

全ての部門の監査が必要となりますので、内部監査部門でも監査を行う必要があります。
なお、プライバシーマーク審査事務局の公式ホームページには下記の記載があります。

『内部監査部門であっても、従業者の情報、名刺の情報などに接する可能性はある以上、監査は必要です。』

過去に弊社で、金融機関の内部監査部門の監査を行ったことがあります。
監査を行うまでは、監査部門に個人情報は無いという話でしたが、実際に監査を行ってみるや沢山の個人情報がありました。
どのような個人情報かと言いますと、内部監査担当者は監査報告書を保持しているのですが、この報告書のエビデンスに沢山の個人情報が一覧化され資料がありました。

監査部門は個人情報が無い無い!とおっしゃる会社もありますが、個人情報の特定漏れがリスクとなりますので再度監査部門の個人情報の取扱いについてチェックしてください。


内部規程の承認は事務局作成、個人情報保護管理者の承認で良いですか?

JISQ15001要求事項に「内部規程は、経営責任等を明確にするため、取締役会の決議を経るなど一定の手続きを経て定める必要がある」と明記されています。
文書の作成・承認については役員の数、組織の形態によって経営責任が明確になるように手順を定めることが良いかと思います。
例えば従業者が100名未満の場合、「起案が事務局、作成が個人情報保護管理者、承認は取締役会」がベストかと考えます。
一概には言えませんが参考としてください。




ITは新時代へ 1980年~パソコン時代 1995年~インエターネット時代 そして時代はソーシャル時代へ ソーシャル時代、
個人情報保護対策は不可欠です SNS運用のお悩みごとはお問い合わせください