プライバシーマーク文書のまとめと社内でおこなった内部監査
プライバシーマーク取得の為に、日々作業してきた文書作成がようやく終盤に近づき、社内で内部監査をおこないました。弊社で取り扱う個人情報は特に多くないので、内部監査をおこなっても何も問題はあがらないと思っていました。しかし、いくつかの問題点が指摘され改善すべき箇所が見つかりました。
連載記事:
- 第1回 プライバシーマークって本当に必要なの?
- 第2回 プライバシーマークを取得するために
- 第3回 プライバシーマーク、個人情報マネジメントシステムの文書化/内部規定の作成
- 第4回 プライバシーマーク、必須の社内教育・研修
- 第5回 プライバシーマーク文書の整理と新たな規定
- 第6回 プライバシーマークを取得していない企業に委託するのは面倒??
- 第7回 プライバシーマーク文書のまとめと社内でおこなった内部監査
- 第8回 プライバシーマークを取得しました!!
ようやく終盤に近づいた文書作成
文書体系の一番基本となる「個人情報保護基本規程」を今まで作成してきた規定、ルール、記録類をベースに修正していきました。「個人情報保護基本規程」は、JISの個人情報マネジメントシステム-要求事項を各会社用に詳しくしたような規定になります。
再度、基本となる文書を修正していく上で、コンサルタントの方や社員からも「こんなルールも必要ではないか?」など修正点がいくつかあげられました。正直、1つルールが増えると書類が増え、記録も増えてと面倒に感じてしまいますが、一つづつこなしていくしかありません。この時私が感じたことは、このようにルールも増えてくると、全体を把握するのが大変になります。社員から個人情報保護に対して、「一体何をすればいいのだろう?」という疑問が社員からわくのではないかと感じました。個人情報を保護するにあたって、担当者だけの認識だけでは何も意味がありません。社員全体で共有する必要があります。
そこで、今回はA4一枚の紙に箇条書きで収まるように個人情報保護に対する社内ルールというものを作成しました。社内ルールの内容は、「これはどうしたら良いの?」というような日常から曖昧になっている疑問をルール化したものです。JISの規格に合わせて作成した規程だけだと、難しい言葉が多いので誰も読む気にならないと思いました。そこで、わかりやすい言葉に直し、日常で意識してほしいルールだけをまとめればより広まると考え、社内全体で新たに作成した「社内ルール」の説明をおこないました。内部向けの文書も増えることにはなりましたが、文書作成というとても時間を費やす作業がほぼ終わりほっとしました。
※サンプル「社内ルール」
内部監査と代表者による見直し
内部監査とは、社内で各部門ごとに個人情報を保護出来ているかの確認を、質疑応答形式でおこなうということです。内部監査を行うにあたってもいくつかの記録をとっていかなくてはなりません。下記に簡単な書類を作成する時間の順序を示します。
- 年間内部監査計画書を作成する(1月)
- 個別内部監査プログラムを作成し、各部門に通知する
- リスク分析と結果を考慮して、内部監査チェックシートを作成する
- 内部監査を実施する(5月)
- 内部監査報告書を作成する
- 是正処置・予防処置要求報告書を作成する
※サンプル「内部監査報告書」
今回の内部監査を実施した結果、従業員から5つほど問題の指摘があげられました。ここで1つだけ例をあげます。「個人情報保護方針はインターネットで公開されていることの認識がなかった。」という意見が社員からあがりました。人数の少ない会社とはいえ、夏におこなった教育だけの告知では、やはり担当している人とそうではない人の認識は違うものだと改めて認識しました。
また、内部監査のあとに事業の代表者(社長)による見直しも行いました。事業の代表者による見直しとは、経営者が年に一度個人情報保護を適切に維持するために、運用状況などを確認することです。しかし、年に一度見直しをおこなうだけでは足りないと考え、月に一度運用状況の報告や、社員からのプライバシーマークに関する疑問や意見を聞く機会を設けることにしました。
いよいよ書類申請の準備です
…と書きましたが、ブログの記事と実際では時間のズレがあります。実際のところ、書類審査と現地審査はすでに終えています。現在弊社では、現地審査で指摘を受けたことを改善報告書にまとめJIPDECに提出したというところです。再審査によって、もう一度指摘を受ける可能性もありますが、プライバシーマーク取得寸前まできています。プライバシーマーク取得作業は一段落できた状況です。次回の記事では、書類審査と現地審査が実際にどのように行われたかを書きたいと思います。
連載記事: