プライバシーマークを取得するために
現在弊社では、プライバシーマークを取得するために、コンサルティングをしてもらいながら 日々奮闘しています。ここでは、どういったコンサルティングを受けながら、実際に担当者がどのような 資料を作成しているのかを紹介していきます。
連載記事:
- 第1回 プライバシーマークって本当に必要なの?
- 第2回 プライバシーマークを取得するために
- 第3回 プライバシーマーク、個人情報マネジメントシステムの文書化/内部規定の作成
- 第4回 プライバシーマーク、必須の社内教育・研修
- 第5回 プライバシーマーク文書の整理と新たな規定
- 第6回 プライバシーマークを取得していない企業に委託するのは面倒??
- 第7回 プライバシーマーク文書のまとめと社内でおこなった内部監査
- 第8回 プライバシーマークを取得しました!!
プライバシーマーク取得までのスケジュールはどのくらいかかるの?
現在までに4回のコンサルティングを受けています。まず第1回目のコンサルティングでは、弊社のプライバシーマーク取得までの全体スケジュールの確認を行いました。 順調に進めば、下記のスケジュールで取得の予定となっています。
- 6月上旬コンサルティングを開始
- 7月末までリスク分析をしながらルールを作っていく
- 8月上旬に社内教育
- 約1ヶ月間は運用、点検、改善をしていく、代表者による見直し
- 9月上旬に申請
- 10月中旬に書類審査
- 11月中旬に現地審査
- 12月下旬に取得(かな??)
平均的に、プライバシーマーク取得期間は1年前後と言われていますが、弊社の予定では約半年間です。半年間というスケジュールになった大きな理由は、社内で保有する既存の個人情報が少ないからです。また、早くプライバシーマーク取得したいという気持ちで、コンサルティング会社の方に弊社の状況や予定を相談した上で、 スケジュールを構築してもらいました。
コンサルティングは週1回のペースで行っています。日常業務をしながら、このペースは…いっぱいいっぱいです。しかし、プライバシーマークに関する資料には聞きなれない言葉が多いので、2~3週間に1回のペースにすると頭から色々なことが抜けていってしまいそうな気がします。
JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項の購入
プライバシーマークを取得するにあたって、日本工業規格(JIS)が作成した「JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項」という資料をもとに個人情報を守る体制をつくっていくことになります。この資料をを購入しなければならないのですが、PDFでダウンロードをするのに2,100円かかります。購入したものの、資料は堅苦しい言葉がいっぱいで、理解に苦しみます。
それでもこの資料をそばに置き、参照しながら作業を進めるので、「JIS Q 15001:2006」の購入が最初の作業ということになります。
プライバシーマーク運営推進体制図の作成
調査や資料の準備を終え、実質的な作業としてまずはじめに行ったことは、「プライバシーマーク運営推進体制」のメンバーを決めて、図を作成することでした。弊社で作成した運営推進体制図は下記のものです。
コンサルティングの方に運営体制の説明を受けている時に私が思ったことは、弊社の従業員数は12人なのに、7人もメンバーが必要なの?ということです。しかし、説明を最後まで聞くと兼任できるものもあり、最小で3人必要ということでした。兼任することができないのは、個人情報保護管理者と内部監査責任者です(必ず2人必要ですね)。 個人情報保護委員長は他の全ての役職と兼任することができません(これでもう一人必要です)。 また、個人情報保護委員長は誰でも出来るというわけではなく、会社の代表者が就かなければなりません。弊社のように3人で構成する場合は、上記の図のように代表取締役と私(図の△△△)とorifuさん(図の□□□)という体制をとりました。
その他作成した図は、組織図、フロア図、ネットワーク図 です。
個人情報保護方針(プライバシーポリシー)の作成
次に行った内容は、「個人情報保護方針」の説明です。ちょうど、弊社ホームページをリニューアルしている最中だったので、 作成していたものをコンサルティングの方に添削してもらいながら、個人情報保護方針(プライバシーポリシー)を 作成していきました。個人情報保護方針(プライバシーポリシー)の内容は下記の項目が必要になります。
- はじめに企業理念を書く
- 利用目的
- 法令の遵守
- 予防と是正
- 相談窓口
- マネジメントシステム(PDCA)
※制定日と改定日、代表取締役の署名が必要
参考までに、弊社で作成したものは、こちらです→プライバシーポリシー
現在作成中の資料
- 業務フロー業務フローを作成しどのような流れで、個人情報が扱われているかをピックアップしていきます。
- 個人情報特定シート業務フローを作成した際に、ピックアップされた個人情報を個人情報特定シートに記載し、それぞれの個人情報が、どのように入手・管理・保管 されているのかを明確に記載します。
- リスク対策分析表個人情報を取り扱う上で、どのようなリスクがあり、どう対策すべきか、 対策しきれないリスクはどんなことか、という内容を明確に記載した表を作成していきます。
次回のコンサルティング内容は
次回は5回目のコンサルティングとなります。
- 作成中の資料の見直し
- 同意文書内容の検討
- 規格の説明(個人情報に関する本人の権利)
- 業務フローの追加
徐々に作成する資料も増えてきて、パンクぎみですが、地道にがんばっていきます。引き続き、プライバシーマーク取得に向けての奮闘ぶりを、5回目のコンサルティング内容を兼ねて紹介しく予定です。
連載記事: