プライバシーマークを取得しました!!
ようやく弊社でもプライバシーマークを取得することができました。年を越して1年間はあっという間だなと感じていましたが、プライバシーマークを手にするまでの10ヶ月はとても長い道のりでした。とにかくうれしくて、隣の席のya-yoさんに写真を撮ってもらいました。
連載記事:
- 第1回 プライバシーマークって本当に必要なの?
- 第2回 プライバシーマークを取得するために
- 第3回 プライバシーマーク、個人情報マネジメントシステムの文書化/内部規定の作成
- 第4回 プライバシーマーク、必須の社内教育・研修
- 第5回 プライバシーマーク文書の整理と新たな規定
- 第6回 プライバシーマークを取得していない企業に委託するのは面倒??
- 第7回 プライバシーマーク文書のまとめと社内でおこなった内部監査
- 第8回 プライバシーマークを取得しました!!
プライバシーマーク使用許諾書が届いた
書類の再提出から、約1ヶ月半が経ちようやくプライバシーマーク認定の通知が届きました。しかし、肝心の使用許諾書とプライバシーマークのロゴデータはどこに?書類に目を通すと、プライバシーマーク使用料を振り込み後、「使用許諾書とプライバシーマークのロゴデータを送ります。」と書かれていました。郵便物が届いた時に「やったぁー!!」とついつい言ってしまいましたが、少し気持ちが先走ってしまいました。
使用料をすぐに振り込んで、待つこと1週間。ようやく手元に使用許諾書とプライバシーマークのロゴデータが届きました。ロゴデータとともにCD-ROMに下記のポスター作成プログラムというものが含まれていました。カラフルな感じは好きですが、実際にこれを使う場面があるのでしょうか…?
記事と時間にズレができてしまいましたが、話は少しさかのぼり、プライバシーマーク取得にあたって一番重要であった書類審査と現地審査について書きたいと思います。以下は、今年の1月から2月にかけての話です。
新規申請の書類審査
実際に弊社が新規申請書類を提出し、書類審査を受けたのは昨年の10月でした。 新規申請書類を提出してから、書類審査を受けて現地審査が行われるまでの期間を下記に示します。
- 新規申請書類をJIPDECに提出(10月上旬)
- 新規申請書類の受理(10月下旬)
- 書類審査(11月)
- 現地審査の日程に関する連絡(12月上旬)
- 書類審査の結果が届く(12月中旬)
- 現地審査(1月上旬)
10月から1月と、およそ3ヶ月かかりました。3ヶ月もかかるの?と感じてしまうかもしれませんが、あっという間に時間は過ぎていきました。新規申請書類を提出後、すぐに審査員の方に審査をしてもらえるのかと思っていましたが、審査前に申請書類が揃っているかのチェックがありました。そこでいくつか申請書類を直してほしいという指摘があり、急いで修正し再提出をしました。書類審査終了後に文書における指摘事項の内容が届き、それらの指摘事項を現地審査までに修正しておかなければなりませんでした。その指摘事項は現地審査の3週間前までに届くのですが、年末年始を挟んでいたためあまり時間がなくバタバタしてしまいました。
ついにやってきた現地審査
あっという間に2008年から2009年になり、1月9日に審査員の方達が弊社に来ました。ついに現地審査のはじまりです。事前に審査時間は正味6時間かかると連絡が来ていました。時間も長い上に、きっと堅苦しくて厳しい人が来るのだろうと予想していたので、とても気が重かったです。しかし私の予想とは異なり、とても話しやすく質問もしやすい審査員の方でた。質問に対してもわかりやすく答えていただけて、かなりスムーズに審査は進んでいきました。審査内容の流れは以下の通りです。
- 代表者へのインタビュー
【欠格事項の有無、申請の動機、方針の周知、体制の整備、最も心配な点、マネジメントレビューについて】 - 個人情報の取り組み状況確認・質疑
【事業内容、取扱う個人情報の流れ(取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄等)について、個人情報保護管理者を中心に確認・質疑】 - 現場での運用状況の確認・質疑
【PMSに基づく運用が行われているか、記録類の確認と合わせて運用状況(特に安全対策等)の確認】 - 文書審査についての確認
- 総評
現地審査で最も時間がかかるのは、個人情報の取り組み状況の確認です。JISの個人情報保護マネジメントシステム-要求事項に沿って、今まで時間をかけて作成してきた文書が規格にあっているのかを細かくチェックしていくからです。この際に一番驚いたことは、(当り前のことなのかもしれませんが)、審査員の方が弊社が作成した膨大な量の文書を隅々まで把握されていたことでした。
文書チェックとは対照的に、現場での運用状況確認では弊社の従業員も「何を質問されるのか?どこを見られるのか?」など心配していた様子でしたが、あっという間に終わってしまいました(約10分程度)。現場での運用状況確認とは、審査員の方が社内全体をチェックしながらまわります。現場を見ながら従業員に「各自のパソコンにパスワードがかかっているのか見させて下さい。」、「個人情報の入っているサーバーは保護されていますか?」等の質問をすることです。今回弊社では、10分程度で終わりましたが、各企業規模、保有する個人情報の量や業種によって時間は異なってくると思います。
長時間かけて、審査が終わり最後に総評として5点指摘事項があがりました。5点もあるのかと思った瞬間、審査員の方から驚きの一言を受けました。「新規審査で指摘事項がこんなに少ないのは珍しいですよ。」と言われました。しかも弊社では予定していた審査時間よりも1時間早く終わり、このことに対しても審査員の方から、「新規審査で時間の延長は多々あるけれど、短縮されることなんてほとんどないケースですよ」とまで言われました。驚くと同時に指摘事項はたった5点だけなら、早く直してしまおうと前向きになっていました。
審査終了からプライバシーマーク取得まで
不安だった現地審査もスムーズに終わり、ようやくプライバシーマークを取得することができました。実際のところは、審査終了してから取得に至るまで、意外と時間がかかりました。現地審査を終えてから、プライバシーマーク取得までの流れを下記に示します。
- 現地審査終了(1月9日)
- 指摘事項に関する書類が届く(1月13日)
- 5点あった指摘事項を改善し、改善報告書と共に規程、記録類を郵送(1月22日)
- 審査員の方からメールにて5点あった指摘事項のうち1点だけ再度改善し、改善報告書を提出することとの依頼(1月30日)
- 再度指摘を受けた1点を改善し、改善報告書と共に記録類を郵送(2月4日)
- プライバシーマーク使用許諾書とロゴデータがが届く(3月26日)
再提出の依頼のあった書類を郵送してから、プライバシーマークを付与されるまでもかなり待ちました。審査員の方からの返事がとても待ちどおしかったです。現地審査では少量の指摘事項だったとはいえ、月に2度しか行われない審査会に通らなければならないこともあり、そう簡単に取得までに手が届かないものなんだなと感じました。その分、プライバシーマークを付与されたときは、とても嬉しかったです。ポスターに書かれた言葉の通りに「株式会社シンメトリックは、個人情報を大切に取り扱っています。」
連載記事: