プライバシーマーク自社取得方法

費用をかけないでプライバシーマークを取得しようと思い、書籍などを参考にいざ進めては見る。
しかし、思ったようには進まず、よく分からない部分 や 判断が付きにくい部分 などが出てきてしまう。
コンサルティング契約はしたくないが、専門の人にアドバイスを得ることができれば、と思うことがあります。

費用をかけずに プライバシーマークの自社取得を目指される方 に、弊社が提供している「プライバシーマーク構築パッケージ」や各種セミナー、サポートサービスを活用することにより、取得の方法を以下にご提案いたします。

TSイズムでは、プライバシーマーク付与認定を受けるための活動を、「システム構築フェーズ」と「マネジメントフェーズ」の2つのフェーズ（段階）に分けて考えています。

プライバシーマークは、個人情報の保護及び取扱いに関して、一定の要件（個人情報保護法、JIS Q 15001、各省庁ガイドライン）を満たした組織に対して認められるマークです。
簡単にいうと、要件に見合う組織の ルールを決め（システム構築フェーズ）、それを 守る活動をする（マネジメントフェーズ）ことにより、プライバシーマーク付与認定を受けられるということです。

プライバシーマーク付与認定活動を始めるに際し、一番最初にすることは、これらの活動をどのように進めていくか、スケジュールを決めることです。

その活動だけを専念して行うのは稀なことで、通常は、一般業務との並行作業となります。
「いつまでに、何を実施するのか？」を明確に定めることは、付与認定活動を確実に推し進める上で重要なポイントといえます。

最近では、最短3ヶ月でプライバシーマーク付与認定を受けることができるコンサルティングサービスなどもありますが、自社のみでの活動の場合、7～9ヶ月 を目安（TSイズム提供のサンプル文書などを利用）として考えておくのが適当だと思われます。
一般業務との並行作業の中、付与認定活動時間はそう多くはとれません。
よって、「システム構築フェーズ」で3～4ヶ月、「マネジメントフェーズ」で4～5ヶ月ぐらいは必要になるでしょう。

プライバシーマークの審査は、「①申請」、「②文書審査」、「③現地審査」、「④認定可否の決定と通知」の順番で行われます。
プライバシーマーク付与認定申請を行う際、規程書類（ルール）のほか、教育及び監査、事業者の代表者の見直しに関する実施記録の提出が必要となるため、マネジメントフェーズにおいて、上記実施記録がとれた段階で「①申請」を行うことになります。
その後、約1ヶ月間隔で「②文書審査」、「③現地審査」、「④認定可否の決定と通知」が実施されます。

認定希望日がある場合などは、上記事項を考慮し、逆算してスケジューリングする必要があります。
※審査スケジュールは、審査機関と兼ね合いにより変更がありますので、タスクを前倒しで行うなど、スケジュールに余裕を持たせる必要があるかもしれません。

TSイズムでは、無料で「認証（認定）取得までの具体的な作業スケジュール」や「御見積書」をご提示させていただいていますので、お気軽にご相談ください。
詳しくは、「TSイズムのコンサルティングとは？」の「ご提案書」まで。

1つ目の「システム構築フェーズ」におけるルールを決める活動では、できるだけ認定後の活動においても、管理的立場 の者を参加させることが重要となります。

ルールは、一人でも決めることができますが、事前に運用の際に協力を得られる人たちと協議して決めることは、ルールを組織内にスムーズに浸透させることに繋がってきます。

ちなみに、プライバシーマークで必要となってくる主な役割としては、以下のようなものがあり、ルール決めには、以下の役割を担うであろう人を参加させると良いでしょう。

・個人情報保護管理者
・個人情報監査責任者
・個人情報教育責任者
・推進事務局
・個人情報照会窓口
・苦情・相談窓口
・入退室管理者
・システム管理者

ルール決め（規定づくり）においては、JIS Q 15001（個人情報保護法、各省庁のガイドラインを含む）の要件を満たした 文書化（規程書もしくは手順書など）が必要となります。

サンプル文書は、「個人情報保護規程」の 1冊 にまとめられており、JIS Q 15001の規格要求事項に沿った構成で作られています。
しかも、運用の記録をとるために必要な様式には、あらかじめ 記入例 がついているため、JIS Q 15001規格要求事項と照らし合わせながら、サンプル文書をカスタマイズすることで、自然と規格要求事項を理解できる仕組みとなっています。

文書化において、ポイントとなるのが、個人情報の特定作業です。
どのような個人情報を取得、移送、保管、利用、廃棄、委託しているのかを明確にし、それらの保護及び取扱いルール（安全管理措置）を決める必要があります。

サンプル文書に記載の内容を参考とすることができますが、個人情報の特定および組織特有のルール（安全管理措置）などは、独自に洗出し、検討する必要があります。
なお、個人情報の特定及び安全管理措置に関するアドバイスなどを、個別セミナー方式（Pマークのリスクアセスメント手法を学ぼうセミナー）でご指導させていただいております。

プライバシーマークは、組織単位（基本的には、法人単位）に付与される制度であるため、それに関連するすべての従業員に、組織のルール（規定）は適用されることになります。
よって、全ての従業員には、運用における 教育を実施 する必要があり、これらの記録は、付与認定申請の際に必要となります。

「プライバシーマーク構築パッケージ」には、運用前研修のテキスト が収録されています。
この中には、自社用にカスタマイズすることにより、従業員が守らなければならない安全管理措置や情報漏洩事件・事故による影響などの解説が行えるようになっています。

運用前の教育が終われば、実際に規程書に基づいた運用を行い、実施記録をとることになります。
ただ、始めたばかりの頃は、なかなか慣れず、記録の取り忘れなどがあるかと思いますので、推進事務局は、現場の責任者と協力して、運用を管理する必要があります。

一通りの運用が終えた段階で、次に実施すべき事項は、「内部監査」です。
内部監査は、規格要求事項への適合及び適正な運用などをチェックする活動です。
その実施には 客観性 及び 公平性 が求められ、実施者（内部監査員）には、適正な知識が必要とされます。
運用前教育が終わった後、内部監査を実施するための「内部監査員」を養成する教育を実施します。

「プライバシーマーク構築パッケージ」には、内部監査員を育成するためのテキスト及びテストが収録されていますので、こちらを用いることで内部監査員を育成及び認定しましょう。また、個別セミナーとして、内部監査員育成研修も実施しています。

内部監査員は、内部監査の規定に従い、内部監査を実施します。
内部監査の実施記録は、教育の実施記録と同様、付与認定申請の際に必要となります。

内部監査実施の結果を受け、付与認定申請に必要となる最後の記録をとるため、「事業者の代表者の見直し」を実施します。
事業者の代表者は、規定に従い、運用状況の評価、分析を行います。

ここまでで、申請に必要な書類が全て整いました。
申請書に必要事項を記載し、各種書類及び記録と一緒に、プライバシーマーク付与認定申請を行います。

「プライバシーマーク構築パッケージ」には、「プライバシーマークの簡単申請ガイド」（Microsoft Word）が収録されています。
申請様式そのままに記入例がついた状態なので、自社用に住所や様式名などを変更するだけで簡単に申請書類を作成できます。

申請後、文書審査が行われ、文書審査結果が審査機関から送られてきます。
審査結果には、指摘事項（規格要求事項への適合漏れ）と現地審査での確認の旨などが記載されています。
指摘事項に対しては、現地審査までに是正を行うこととなります。

過去にお客様からあった質問事項をWeb上（サポートブログ）でご照会しております。指摘事項で迷われる場合などは、ご参考にしてみてはいかがでしょうか？
また、商品購入者もしくはサービス利用者には、無償でメールによるサポートを行っております。
※なお、お客様の現状を把握できないと答えられないご質問には、一般的な回答を差し上げております。

現地審査の際、審査員より当日のスケジュールなどの案内（電子メールなど）が届きます。
一般的に、事業者の代表者へ、事業で取り扱う代表的な個人情報についての取扱いなどの質問から始まります。
続いて、従業員の方に、個人情報の取得から移送、保管、利用、廃棄等についてインタビューがあります。
なお、先の文書審査での指摘事項に対する是正の説明（回答）も必要となります。

現地審査が終了した際、審査員より総評があるかと思います。そこで、ほぼプライバシーマーク付与認定が得られるかどうか判断がつきます。

現地審査後、審査会の判定により認定であれば、付与認定の通知がきます。
晴れてプライバシーマーク付与認定事業者となり、ホームページやパンフレットなどに「Pマーク」を掲載することができるようになります。

プライバシーマーク付与の有効期間は、2年間 です。
よって、2年後には、更新手続（審査あり）をとることで、更に2年間延長することができます。
なお、更新に際しては、申請の際と同様に、教育及び監査、事業者の代表者の見直しの記録の提出が必要となります。

プライバシーマーク付与認定後のポイントは、無理のない活動としてどれだけ運用できるかだと思います。
そのために、付与認定後の最初の2年間、推進事務局と全従業員がともに協力し、社内文化（習慣化） として根付かせていくことが大事でしょう。

TSイズムでは、お客様のプライバシーマークの運用をサポートするために、社員教育の材料になるテキスト集（ISM Learning）や、規格改訂情報や関係省庁の情報、セキュリティ事件・事故、ウイルス警告情報などを提供するメールマガジン（購読希望者のみ）、社員情報セキュリティ教育セミナーなどの個別対応セミナーなどをご提供させていただいております。
維持運用に関しても、お気軽にご相談ください。