プライバシーマーク(Pマーク)の更新審査に際しては、まず最初にトップインタビューが行われます。
その際に質問されるおおまかな事項については事前に共有されるのかなと思います(JIPDECはされます。)。ただ、その質問事項だけだとうまく答えきれないケースもありますので、ポイントをまとめました。
事業内容・会社規模
審査員の方にもよりますが、トップインタビューの際に事業内容の説明を求められることがあります。また、従業員数、売上高(今期、前期)も聞かれることがあります。
代表であれば答えられるとは思いますが、念のため確認はしておいた方が無難でしょう。
取得・更新の経緯
こちらは年々クライアントの個人情報の関心が増しているので、当社としても、、、と適当なことを言っておけば大丈夫です。
うちの代表は、ここで、Pマークの取得企業は増えてますか?とか、最近ではPマークっていうとクライアントもおお、さすがですね、という反応が多いですよ!と雑談を入れ、いい雰囲気を作れておりました。
個人情報保護方針について
どのように社外、社内に公開しているかを確認されます。例えば、社外には会社ホームページ、社内にはシェアポイントの社内サイトに掲載と言ったように答えられれば問題ありません。
体制について
個人情報保護責任者、内部監査責任者、システム担当の名前を押さえておきましょう。特に、変更があった際は、いつ頃変更があったかも言えるとベストです。
マネジメントレビューの実施
審査対象期間にどのようなマネジメントレビュー(見直し指示をしたか)を答えられるようにしておきましょう。
マネジメントレビューの記載と回答は大筋がずれないようにしておきたいです。そのため、マネジメントレビューの時にあまり細かく具体的かつ重箱の角のようなことは書かないのが吉です。
マネジメントレビューの結果、このように改善されているというストーリーができていると心象が良いです。例えば、Pマーク事務局が少人数でスケジュール通りにやれていない部分があるため、体制を強化すること→1名増員とか。
これは2年分聞かれるので確認しておきましょう。時期も聞かれるので、毎年何月あたりですと回答できるようにしておきましょう。
仮名加工、匿名加工情報の有無
こちらも場合によっては聞かれますので、取り扱いがあるのであればその内容、取り扱いがなければ定義だけ簡単に押さえておけば大丈夫です。
取り扱いがあれば簡単な業務内容だけ説明できるようにしてもらいましょう。
個人情報漏洩事故
審査対象期間の漏洩事故について、きちんと認識があるかを聞かれます。再発防止策も簡単に聞かれることもあるので、軽く振り返りをしておきましょう。
注意点
マネジメントレビューとその後の審査との内容にズレがあってもそこまで大きな問題にはなりません。全然リカバリーは可能です。
ただ、例えば代表が語った漏洩事故が、報告されていないとか、再発防止予防措置等が取られていないと、少し心象は悪くなります。
最後に
聞かれることは審査員の方によって異なってきますが、更新審査を3回ほど受けた限りですが、概ね上記のような感じです。あまり問い詰めるとか粗探し的な審査の仕方ではなく、比較的和やかに進むことが多いと思います。
また、更新審査全体としても、そこまで恐れる必要はありません。普段からやらなければいけないことをやっていればOKですし、あとは審査員の方が審査しやすいように綺麗にファイリング等しておけば、印象◎です。せっかくなので、運用で悩んでいる部分を相談してみるのもオススメです。
