プライバシーマークって何するの
今回は、プライバシーマーク(以下「Pマーク」とします)を持っている会社で、Pマークの運用のために、担当者がどのようなことをしているのかを書いてみました!これからPマークを担当することになる方にも何となくイメージを持ってもらえると良いかなと思います!
Pマーク運用の概要をざっくりと
Pマーク制度の制度目的は、消費者の目に見えるPマークを示すことによって、個人情報保護に関する消費者の意識の向上を図ることと、適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりに応え、社会的信用を得るためのインセンティブを事業者に与えることとされています。
そして上記の制度目的を前提として、Pマークを付与された事業者は、Pマーク取得時に事業者が策定したPMS(個人情報を適切に管理するためのPDCAの要素を含んだルール)に従い、PDCAサイクルを継続的に回していくことになります。
PDCAってなに?
PDCAとは、Plan(計画)・Do(実施)・Check(点検・評価)・Act(改善)のことをいいます。
Pマーク制度でいうと、①社内の体制を整え仕組みを構築(P)⇒②仕組みに沿った運用を行う(D)⇒③個人情報の取扱い状況を確認(C)⇒④仕組みの改善(A)⇒①に戻るというサイクルを回していくことをPDCAサイクルを回すといったりしています。
そしてこのPDCAサイクルがきちんと回っているかということを外部監査でチェックされます。
※外部監査対応については別記事で詳しく説明する予定です。
教育について
まず、Pマーク担当は教育研修を実施する必要があります。実施時期、実施回数、実施内容等については、事業者がPMSにて決めます。僕の働いている会社では、①入社時に全社員に対して研修(講義)+テストを行い、②毎年6月ぐらいに全社員向けに定期研修(テキストの配布+テスト)を行うという二段構えで運用しております。
①の入社時研修で、Pマーク制度の概要なども含めて幅広い内容を従業員に対して講義にて理解してもらい、②の定期研修では、最新の漏洩事例の紹介や、実務上の注意点等時事的なものも反映させうえで、ポイントを絞ったテキストを読んでもらうようにしています。
また、②のテストの実施方法ですが、一部紙での実施ですが、基本的にはMicrosoft Formsを使ってWEB上で取り組んでもらっています。Formsで集計したものは平均点や正答率なども出せるため、全体の平均点や間違いが多かった問題などは社内報などでお知らせするようにしています。
☆面倒なこと:教育を行う際に教育計画を立てて、決裁者の承認を得なければなりません。また定期テストの際に、定期テスト対象者リストを作って、未提出者には催促をしたりしなければならないので、ちょっと面倒です。
内部監査について
年に最低一回内部監査を行いますが、その前提として、事業部ごとに、個人情報の管理台帳と、個人情報リスク分析台帳というものを作成してもらっています。これは、当該事業部にて取り扱っている個人情報とその保管期限や件数を記載した台帳と、その個人情報をどのように取り扱っており、どのようなリスクが存在し、どのような対策をとっているか、そのうえで残存リスクがあるかということが記載される台帳です。
内部監査は、これらの台帳に従い現場での運用がなされているか、台帳に記載漏れがないか、今後予定している個人情報取扱いはあるか、机回りに名刺が落ちているなど不適切な個人情報の取扱いがされていないかなどを、内部監査チェックリストに従って実施していくことになります。
内部監査実施後は、報告書を作成します。報告書にはPMSに定めたルールに反する事項が発見された場合にはその旨などを記載します。そのうえで違反があった事業部には再発防止方法等を考えてもらい、再発防止予防措置報告書という書面を提出してもらい、一定期間経過後に防止策がきちんとなされており、機能しているかを再度確認します。
☆面倒なこと:ダントツ一番は台帳管理です。悲しいことに、うちの会社には台帳管理が事業部のご担当にきちんと運用されていることはほとんどありません。法務担当として契約書チェック時などに知った情報をもとに、内部監査実施の一か月前くらいから台帳をチェックして指摘して直してもらうという感じになってしまっています。ここの運用は今後の課題です
トップマネジメントレビュー
上記の教育や内部監査の結果、漏洩事故等の報告を代表者に対して行います。そして代表者は、その評価や改善指示などを行います。実際、評価や改善指示などはPマーク担当の方で作ってしまい形式的なものになってしまいますが、トップマネジメントレビューは結構大事です。適当にやってしまっているとPマーク更新時の外部監査時に突っ込まれる可能性があります。詳しくは、外部監査の記事を書いたときに・・・。
そもそもPマークなんて取得して意味あるの??
正直ここはちょっと悩みどころです。というのも、Pマーク付与期間はPDCAサイクルが回っているかを監視する機関であって、具体的な個人情報取扱い方法等のアドバイスをくれるようなコンサル機関ではありません。なんなら、個人情報の知識については、外部監査時の審査員よりも会社のPマーク担当の方が詳しい可能性もあります(そういったケースもよくあるそうです。)
そして、Pマーク取得期間が個人情報の漏洩事故を起こさないということももちろんないです。また、小さな漏洩事故であればPマークが取り消されるということはまずないです。
とはいえ、僕はPマークを取得する意味は、やはりあると思っています。
まず、BtoBの業務委託契約等で個人情報を取り扱う場合にはPマーク持ってるの?の確認はかなりの確率でされますし、Pマーク持っていますの一言で、スムーズに話が進む(面倒な書面の提出等を省略できる)ことが多いですし、少ないながらもそもそもPマーク持ってないと取引しないという取引先もありました。
また、働く会社がPマーク取得企業というのは、そこで働く社員も個人情報の取扱いに関する意識が多少高くなるそうです(中途採用の方談)。Pマーク持ってる持ってないに関わらず、個人情報はきちんと取扱いなさいと思いますが(笑)。
最後に
Pマークの運用については、比較的会社ごとに裁量があるため、運用の仕方も違いがあると思いますが、今回は僕がやってるPマークの運用をざっくりですが書いてみました。もしPマークの取得を検討されている会社さんがいらっしゃいましたら、会社規模にもよりますがPマーク事務局も事業部もそれなりの時間を取られることになりますので、本当にPマークが会社にとって必要かどうかはしっかり考えることをお勧めします。
今度は外部監査で何するかを書いてみたいと思います。
ではまた~
コメント
コメント一覧 (2件)
[…] プライバシーマークって何するの?運用編 ひな型 法務関連 […]
[…] プライバシーマークって何するの?運用編 法務関連 よかったらシェアしてね! […]