プライバシーマーク取得準備で苦労する内容とは
大変なステップは、ズバリ以下の3つの内容です。
【リスク分析作業】
【プライバシーマーク文書の作成】
【プライバシーマークの社内定着】
この3つのステップをクリアすれば、ゴールが見えます。
【リスク分析作業】
- 会社が保有している個人情報を抽出し、「個人情報台帳」に整理します。
- 抽出された個人情報ごとに、「価値」・「脅威」・「脆弱性」の観点からリスク分析を行い、リスク分析シートを完成させます。
- このステップは、コンサルタントの適切な指導やコンサル会社から提供されるツールを使いませんと大変な労力が必要です。
【プライバシーマーク文書の作成】
- まず最初に作るのが「個人情報保護方針」
- 社内システムの基本となる「個人情報保護マニュアル(JISQ15001に準じて)」
- 社内運用基準となる様々な規定
- ⇒個人情報の収集・利用・保管・開示に関する様々な社内ルール
- このステップは最も時間がかかり、労力の提供が必要です。企業によって策定する規定文書は様々ですが、15〜20種類前後の規定を策定する企業が多いです。
【プライバシーマークの社内定着】
企業が最も安易に考え、そして最も苦労するステップです。リーダーシップがなければ、ルールは社内に定着しません。定着しなければ審査でNGです。
言い換えますと、コンサル会社に支援を依頼する場合は、この3つの「関所」についてどうサポートしていただけるか、を確認すると良いでしょう。
上記のうち、「プライバシーマーク文書」についてもう少しお話いたします。
企業によって策定する文書は変動します。
ここでは、私が指導したある企業の文書内容をご紹介します。
■基本として、「個人情報保護マニュアル(個人情報保護方針含む)」
■以下、策定した「規定」(順不動)
- セキュリティ事故対応規定
- 紙媒体保管規定
- 社外個人情報取扱規定(収集、同意、開示等)
- 社内個人情報取扱規定
- 社内規定管理手順書(業務委託先、内部監査)
- 情報システム管理規定(ネットワーク管理、サーバー管理、PC管理、バックアップ管理、保管媒体管理、電子メールの取扱い)
- 入退出管理規定
規定の統合化を図り、かなりスッキリさせました、結果、「7つの規定」で集約化を図りました。
( )内を別規定(例えばサーバー管理規定など)にすれば、この場合でも「15規定」になります。
■以下、次のような帳票も作成しました。
- 「個人情報の取り扱いに関する覚書」(委託業者向け)
- 個人情報一覧表
- リスク分析表
- 社員誓約書
- 社員同意書
- 個人情報収集同意書
- 退職社員誓約書
- 個人情報収集申請書
- 個人情報利用申請書
- 業務委託先リスト
- 業務委託崎評価記録
- 物品持ち出し申請書
- 保管台帳
- 個人情報取扱請求書
- 個人情報取扱通知書
- 年度教育・訓練計画書
- 教育訓練実施記録
- 個人別教育実施記録
- 苦情相談管理表
- 個人情報マニュアル管理台帳(配布先)
- 規定管理台帳(配布先)
- 外部文書管理台帳
- 内部監査計画書
- 内部監査実施報告書
- 代表者による見直し議事録
- CP改善計画書
- ネットワーク管理図
- PC管理表
- バックアップリスト
- アカウント登録申請書
- ユーザーアカウントリスト
- ソフトウェア申請書
- ソフトウェア一覧表
- アプリケーション管理表
- サーバーオペレータ日誌
- 鍵管理台帳
- セキュリティ事故報告書
- ソフトウェア監査記録
- 入退出管理記録
あくまで参考例です。イメージできましたでしょうか。