プライバシーマーク取得までの流れ
プライバシーマーク取得までの流れを、簡単に概略を説明しますと、以下の様になります。
【1】JIS規格(JISQ15001)に基づいて、社内の個人情報保護のル−ルを明文化(文書化)する。
【2】明文化されたル−ルに基づいて社内運用し、社内監査を実施する
【3】プライバシ−マ−クは第三者認証ですので、審査機関(JIPDECなど)に審査申請する。
【4】上記審査機関の書類審査・現地審査を経てプライバシ−マ−クが付与されます。
もう少し詳しく説明しますと・・・・
【1】JIS規格(JISQ15001)に基づいて、社内の個人情報保護のル−ルを明文化(文書化)する
このステップは結構大変な準備作業が必要です。
具体的には、
■個人情報保護方針を策定し文書化する
■会社が保有している個人情報を抽出し特定し、個人情報台帳を作成する
■抽出された個人情報が事故にあった場合のリスク分析を行い、リスク管理表を作成する
■JISQ15001に基づいて、個人情報保護マニュアルを作成する
■個人情報保護マニュアルの具体化を図るために、各種詳細規定を作成する
・・・どのような規定を策定したらよいかの質問が多いですが、当然企業によって変化します。おおよそ15〜20種類の規定を整備している会社が多いです。
代表的な規定としては、
- 個人情報特定規定
- リスク分析規定
- 個人情報管理規定
- 個人情報取扱い規定
- 文書管理規定
- 教育規定
- 監査規定
- マネジメントレビュー規定
- サーバー管理規定
- PC管理規定
- モバイル規定
- ウィルス規定
- 入退出管理規定
- 鍵管理規定
- 委託先管理規定、など様々です。
【2】明文化されたル−ルに基づいて社内運用し、社内監査を実施する
このステップは文字通り「運用」です。ただし、運用前には、当然「社員教育」と「監査員養成」が必要です。
運用し一定期間が経過した段階で「社内監査」を行い、ルールの定着度を監視し、是正します。
【3】プライバシ−マ−クは第三者認証ですので、審査機関(JIPDECなど)に審査申請する
「コンプライアンス文書一式の完成、教育の実施、社内監査の実施」の3点が終了しましたら、ようやく審査申請です。逆に申し上げれば、ここまでのステップが終了しませんと審査申請はできません。
【4】審査機関の書類審査・現地審査を経てプライバシ−マ−クが付与されます
これは既にお話している通りです。
こうした流れでプライバシーマークの付与がされます。
簡単そうですが、結構長い道のりでありますし、また難解な道のりでもあります。
特に、「社内ルールの文書化」はかなりの労力と知識が必要ですし、「審査」では何度も跳ね返されます。1回の審査ではなかなか合格できません。
こうした状況ですので、大半の企業がコンサルタントの支援を仰いでいます。