プライバシーマーク取得情報

☎03-5614-4311
東京都中央区日本橋小伝馬町16-5
新日本橋長岡ビル6階

株式会社ハピネックスが運営するプライバシーマーク取得の基礎知識サイト

プライバシーマーク取得準備で苦労する内容とは

大変なステップは、ズバリ以下の3つの内容です。

  • 【リスク分析作業】
  • 【プライバシーマーク文書の作成】
  • 【プライバシーマークの社内定着】

この3つのステップをクリアすれば、ゴールが見えます。

リスク分析作業

  • 会社が保有している個人情報を抽出し、「個人情報台帳」に整理します。
  • 抽出された個人情報ごとに、「価値」・「脅威」・「脆弱性」の観点からリスク分析を行い、リスク分析シートを完成させます。
  • このステップは、コンサルタントの適切な指導やコンサル会社から提供されるツールを使いませんと大変な労力が必要です。

プライバシーマーク文書の作成

  • まず最初に作るのが「個人情報保護方針」
  • 社内システムの基本となる「個人情報保護マニュアル(JISQ15001に準じて)」
  • 社内運用基準となる様々な規定
    ⇒個人情報の収集・利用・保管・開示に関する様々な社内ルール
  • このステップは最も時間がかかり、労力の提供が必要です。企業によって策定する規定文書は様々ですが、15~20種類前後の規定を策定する企業が多いです。

プライバシーマークの社内定着

企業が最も安易に考え、そして最も苦労するステップです。リーダーシップがなければ、ルールは社内に定着しません。定着しなければ審査でNGです。

言い換えますと、コンサル会社に支援を依頼する場合は、この3つの「関所」についてどうサポートしていただけるか、を確認すると良いでしょう。

上記のうち、「プライバシーマーク文書」についてもう少しお話いたします。

企業によって策定する文書は変動します。

ここでは、私が指導したある企業の文書内容をご紹介します。

基本として、「個人情報保護マニュアル(個人情報保護方針含む)」

以下、策定した「規定」(順不動)

  • セキュリティ事故対応規定
  • 紙媒体保管規定
  • 社外個人情報取扱規定(収集、同意、開示等)
  • 社内個人情報取扱規定
  • 社内規定管理手順書(業務委託先、内部監査)
  • 情報システム管理規定(ネットワーク管理、サーバー管理、PC管理、バックアップ管理、保管媒体管理、電子メールの取扱い)
  • 入退出管理規定

規定の統合化を図り、かなりスッキリさせました、結果、「7つの規定」で集約化を図りました。

(  )内を別規定(例えばサーバー管理規定など)にすれば、この場合でも「15規定」になります。

以下、次のような帳票も作成しました。

  • 「個人情報の取り扱いに関する覚書」(委託業者向け)
  • 個人情報一覧表
  • リスク分析表
  • 社員誓約書
  • 社員同意書
  • 個人情報収集同意書
  • 退職社員誓約書
  • 個人情報収集申請書
  • 個人情報利用申請書
  • 業務委託先リスト
  • 業務委託崎評価記録
  • 物品持ち出し申請書
  • 保管台帳
  • 個人情報取扱請求書
  • 個人情報取扱通知書
  • 年度教育・訓練計画書
  • 教育訓練実施記録
  • 個人別教育実施記録
  • 苦情相談管理表
  • 個人情報マニュアル管理台帳(配布先)
  • 規定管理台帳(配布先)
  • 外部文書管理台帳
  • 内部監査計画書
  • 内部監査実施報告書
  • 代表者による見直し議事録
  • CP改善計画書
  • ネットワーク管理図
  • PC管理表
  • バックアップリスト
  • アカウント登録申請書
  • ユーザーアカウントリスト
  • ソフトウェア申請書
  • ソフトウェア一覧表
  • アプリケーション管理表
  • サーバーオペレータ日誌
  • 鍵管理台帳
  • セキュリティ事故報告書
  • ソフトウェア監査記録
  • 入退出管理記録

あくまで参考例です。イメージできましたでしょうか。