プライバシーマーク取得・更新をサポートする大阪のコンサル企業

1. 現状分析
2. 文書化
3. 教育
4. 内部監査
5. 審査

現状分析

現状分析とは、自社で取り扱う個人情報の洗い出し、及びその個人情報の取り扱いプロセスにおけるリスクを分析し、リスクを回避するための対策を決定することです。

個人情報の洗い出し

JIS Q 15001:2006 は、自社の事業の用に供する"個人情報"全てに対して、その利用目的を特定し、適切な取り扱いを実施することを要求しています。
「自社の事業で取り扱う個人情報はどの部署にどれだけあるのか？」をまず明確にしなければなりません。

そのため、

• 各部門の責任者が各部員に取り扱っている個人情報をヒヤリングする。
• 各部門の業務フローを書き出し、業務フロー上から取り扱っている個人情報を洗い出す。

等の手法で、個人情報を洗い出し、自社の事業で取り扱っている個人情報を"台帳"にて管理する必要があります。

リスク分析

自社の取り扱う個人情報が把握できたら次は、"適切な取り扱い"を実施すべく、取得・移送・入力・利用・加工・保管・廃棄・返還等の個人情報の取り扱いを現状どのように実施しているのか？を特定します。

そしてその各取り扱いプロセスでのリスクを洗い出します。

"リスクを洗い出す"というのは、個人情報を取り扱う上でのリスク"漏洩""破壊・紛失""目的外利用""未同意取得"等の事象が発生する要因を特定し、その事象が発生してしまった場合の影響度を分析することです。

この洗い出したリスクをもとに、それを回避する為の最善策を立案し、ルール化させることがリスク分析の目的です。

Step2の文書化はこの自社の現状分析の結果を反映させることが重要です。

ページの先頭へ戻る

文書化

文書化とは、自社で"適切な個人情報の取り扱い"を実施していく為のルールブックのようなものを作り上げます。

一般的には個人情報保護マニュアルと読んでいます。

プライバシーマークの審査では、まずこの個人情報保護マニュアルをチェックし被審査企業で、個人情報を適切に取り扱う仕組みが出来上がっているか？をチェックします。

ですから、この個人情報保護マニュアルでは、プライバシーマークの審査基準である「JIS Q 15001:2006」で要求されている内容を自社で実施していく為のルールや取り決めを全てまとめておく必要があります。

簡単に言うと、JISで「〜しなければならない」と書かれていることに対して、こうやってやります。と書いているのがこの個人情報保護マニュアルです。

文書として整備しなければならないものは、このマニュアルの他にも、例えば、先に説明した、個人情報管理台帳や、リスク分析を実施する為のシート、その他、新たな個人情報の取り扱いの承認を得る為の、承認用紙や、業務委託先を選定する為のシート等々、個人情報の適切な取り扱いを実施していく為に必要となる書類を、"関連帳票"と呼んでおり、これらの関連帳票も整備する必要があります。

ページの先頭へ戻る

教育

企業にて個人情報を適切に取り扱う為には、特定の部署や特定の担当者だけがルールを遵守すれば出来るものではありません。従業者全員が自社の個人情報取得ルールを理解し実行していかなければなりません。

ですから、JIS Q 15001:2006 では、最低年１回以上"全従業者"に対して教育を実施することを要求しています。

"全従業者"なので、もちろん役員の方も含まれます。

教育は受講しただけでは駄目で、その効果測定として小テストを実施する。等の措置も必要になります。

ページの先頭へ戻る

内部監査

内部監査では、自社で定めた個人情報の取り扱いに関するルールが実行されているかどうか？をチェックすることが目的です。

これも教育と同じく、最低年に1回はやらなければなりません。

チェックしなければならない内容を大きく分けると、

1. 自社のルールとその運用が、JIS Q 15001:2006 が要求している内容を網羅しているか？
2. 自社で定めたルールが現場で実行されているか？

この2つの側面でチェックをする必要があります。

そしてこのチェックを行った結果、出来ていなかった内容に関しては原因を特定し、きちんと実施できるよう処置を施すか、ルールそのものを見直すかを決めて、企業の代表の承認のもと改善を施さなければなりません。

ここまでの一連の流れを実行すれば、プライバシーマークの申請が出来ます。

ページの先頭へ戻る

審査

プライバシーマークの審査は、審査機関に提出する書類をチェックする"書類審査"と審査員が現地に訪問し現場をチェックする"現地審査"の大きく2つの審査があります。

書類審査では、個人情報保護マニュアルやその関連帳票、教育・監査の実施記録等を審査機関でチェックします。チェックの基準は、JIS Q 15001:2006 の要求を全て満たしているかどうか？という点になります。

出来ていない点に関しては、次の現地審査までに改善しておくように審査機関から通知があります。

現地審査では、実際に個人情報保護マニュアルに規定されていることが現場で運用されているかどうか？をチェックします。現地審査は1日のみで、1回の現地審査で、×と言われた箇所に関しては、その出来ていない原因を特定して、改善報告書を提出します。

この改善報告書の内容に承認が出れば、はれてプライバシーマーク取得となります。

ページの先頭へ戻る