プライバシーマークを取得している会社に勤務していると、突然プライバシーマークの担当に任命されることがある。
いままでプライバシーマークの申請手続きを経験されていない方は当然だが、担当者としての経験がある方も時間が経過しているために記憶が定かではないケースがあるだろう。
「プライバシーマーク更新審査をスムーズに終わらせたい」
または
「全くの初心者なのに急に会社からプライバシーマーク担当者に選ばれてしまった」
この記事は、このような方のために“知識ゼロからでも最短手順でプライバシーマークを更新すること“を目的としている。該当する方はぜひ参考にしてほしい。
プライバシーマーク更新手続きを行う上で必要な知識
まずは更新手続きを行う前に把握しておいていただきたい予備知識について確認しておこう。
具体的には次の2点となる。
・2年毎に更新手続きを行う必要がある
・前回認証取得してから2年分の運用記録が必要となる
プライバシーマーク更新申請書の提出期間を確認、スケジュールを立てる
ここで気をつけたいのがプライバシーマークの更新手続きは2年毎だが、更新申請書を審査機関に提出するのは有効期間満了前の8ヶ月前から4ヶ月前までの間に行う必要がある点だ。
自社の更新申請書提出期間がいつなのか確認しよう。
有効期間は自社にあるプライバシーマーク登録証に「プライバシーマーク付与の有効期間」が記載されている。
【プライバシーマーク登録証のサンプル】
もし、何らかの事情によって登録証を確認することができない場合はプライバシーマーク付与機関であるJIPDEC(日本情報経済社会推進協会)のサイトでプライバシーマーク取得会社を公表してくれているので確認することができる。
更新申請書の提出期間を確認したら、その4ヶ月の間であなたの業務の繁閑の時期を考慮していつ提出するかスケジュールを立てよう。その際、「○月○日提出」といったように具体的なデッドラインを設ける方がいいだろう。
前回認証取得してから2年分の運用記録を確認する
更新申請書の提出日を決めたら、次は運用記録の確認をする。
プライバシーマークにおいては”実施しただけ”では意味がない。『実施した記録が漏れなく作成されているか』を確認する必要がある。
先に確認したプライバシーマーク有効期間内の運用記録について、漏れがないかを確認しよう。
運用記録確認の手順
具体的には以下の順番で行うとスムーズに確認作業を行うことができる。
1_マニュアル・規程の変更点の有無の確認
まず最初にマニュアルや規程に変更するべき事項がないかを確認しよう。
基本的には前回プライバシーマークを認証することができた規程類なので、大幅な変更点というのは無いはずだ。
ただし、以下のようなケースに当てはまる場合は変更しておく必要があるかもしれないのでチェックしておこう。
・会社概要(代表者や所在地・組織図etc)の変更
・事業内容の変更
・個人情報保護体制の変更(個人情報保護管理者・監査責任者の変更)
・JIS規格(JIS Q 15001)およびガイドラインの変更
これらの項目に関して変更した点があって、規定類に該当するものがあればその変更が反映されているか確認しておく。
「JIS規格(JIS Q 15001)およびガイドラインの変更」についてはJIPDECのサイトのトップページにその都度掲載されているので参照しておこう。
2_最低年に1度実施する必要のある記録類の確認
次に確認しておくものは「規格上、最低年に1度は実施する必要のある記録」だ。
具体的には以下の6点となる。
・個人情報の台帳
・リスク評価に関する書類
・関連法規に関する書類
・教育研修に関する書類
・内部監査に関する書類
・代表者による見直しに関する書類(マネジメントレビュー)
これらの記録は会社規模の大小や業種を問わず、最低でも年に1度は行うこととされている。自社の規程類を確認して、それぞれいつ、どれぐらい行うルールになっているか把握しよう。
ここでよく疑問に思われるのが、「最低年に1度必要な記録の2年分」だから必ず2年分の記録が整備されていないといけないのか、という点である。
結論から言うと答えは”No”だが、この点について具体的に説明しよう。
例えば御社のプライバシーマーク付与の有効期間が平成26年10月10日~平成28年10月9日までだったとする。この場合、申請書提出期間は平成28年2月9日~6月9日までとなる。
そして規程上、教育研修は毎年5月・内部監査は毎年7月と決められているとすると、
提出期限の平成28年6月9日までに提出した場合、平成28年7月に実施される予定の内部監査はまだ実施されていないため記録がない、ということになる。
このように、申請書提出期限内にまだ実施されていないものについては申請書には記載しなくても問題はない。
ただし、当然申請書提出後の現地審査のときには記録を確認されることになるので、実施後記録の作成が漏れることがないように注意しよう。
ちなみに上記の例において、仮に平成28年4月に申請書を提出した場合には教育の記録も平成27年5月に実施したものだけで問題ない。
これらの点を踏まえて、有効期間内のうち申請書提出までに作成しておくべき記録が整備されているか確認しておこう。
3_委託先に対する評価・契約締結の確認
次は委託先に関しての記録(書類)の確認となる。
プライバシーマークにおいては、「個人情報を提供する業務を委託する会社」との契約に対して『委託先の監督』をすることが必要となる。
「個人情報を提供する業務を委託する会社」とは、例をあげると社員の名刺の印刷を発注する場合などである。
自社の社員の個人情報も当然保護すべき対象となるので、名刺の印刷を依頼している場合はその印刷会社の個人情報の取扱いについて監督することが求められているのだ。
では委託先の監督についての記録とは具体的にどのようなものが必要となるのか、それは以下の2点である。
・委託先の個人情報の取扱い状況を調査、もしくはヒアリングにてチェックした書類
・委託先との個人情報に関わる覚書(契約書)
この2点をもって委託先の監督を実施していくことになる。
ここで注意したいのが、後者の覚書(契約書)についてはその有効期限が切れてなければ改めて締結する必要はないが、前者の委託先の個人情報の取扱い状況をチェックした書類については定期的に行う必要がある点だ。
ここは御社の規程に記載されている「委託先の監督」のルールがどのように規定されているかによるが、目途としては今回のプライバシーマーク付与の有効期間内に最低1度は実施されている方がいいだろう。
ちなみに個人情報の提供を行わない委託先については、プライバシーマーク上は監督を行う必要はない。
4_日常的に作成する記録の確認
次は日常的に作成する記録の確認だ。
ここまで見てきた3種の記録とは違って、この日常的な記録については会社によって幅がある。
例えば”社員の入退室”について考えてみると、IDカードなどの電磁的な記録で管理しているところもあれば、紙媒体に手書きで書いて管理している会社もある。
プライバシーマーク上はどちらの手段をとっていても適切に管理されていれば差支えない。
このように、『日常的な記録をどこまで残して管理していくか』という点については会社の任意性に委ねられている性質をもっているため、自社のマニュアル・規程類を確認してどのような記録をつけていくルールとなっているか確認してほしい。
参考として、日常的な記録は以下のようなものがある。
【毎日作成or確認する記録】
・社員の入退室の管理
・来客管理
【一定の頻度を定めて作成する記録】
・パスワード変更管理
・データのバックアップ管理
・個人情報の授受に関する記録
・運用確認の記録(適切な運用がなされているかのチェック)
繰り返しになるが、これらの記録は必須ではないし、これ以外の記録をつける必要があるかもしれない。これは会社ごとに異なるので漏れることのないよう十分に確認することをおすすめする。
5_社員に関する記録(書類)の確認
最後は社員に関する記録(書類)の確認となる。
一般的には、採用時や入社時に社員の個人情報を取得する際に書いてもらう「同意書」や実際に働いてもらうことになった際に会社の情報を適切に扱うことを約束してもらう「誓約書」がこれにあたる。
ここでの注意点は、便宜上社員という表現をしたが、正しくは雇用形態を問わずパート・アルバイト・派遣社員、役員なども該当するという点だ。
つまり御社の個人情報に関わる可能性がある人間すべてと考えてもらった方がいいだろう。
この「同意書」や「誓約書」は過去に取得していれば再度作りなおす必要はないが、漏れなく全員分あるかをしっかり確認してほしい。
実施記録の確認ができたら更新申請書類を作成する
いかがだっただろうか。
もし、前回プライバシーマークの認証を受けてから今まで適切に運用されていた場合、今回のフローにそっていけばシンプルに確認作業を行っていくだけで申請書提出に着手できるだろう。
逆に「記録の漏れが散見された」または「それぞれの記録作成のルールが分かり辛い」といった場合には今後の安定した運用を考慮して規程類(運用ルール)の変更をするいいタイミングかもしれない。
プライバシーマーク付与期間内の運用の確認が終わったらいよいよ更新申請書の作成となる。
この申請書の作成の仕方について、次に具体的な方法を紹介するので参照していただきたい。
参考:プライバシーマーク更新申請書類(11枚)の作成方法と手順