以前、お電話でとあるお問い合わせを受けました。
その内容は、、、

「取引先がプライバシーマークを取得しようとしていると話を聞いているが本当にそういった取り組みをしているのかを目に見える形で確認したい。簡単に把握する方法はあるか？」という内容でした。

なかなか難しい問題です。
「取引先に聞かれてみたらどうですか？」とご返答したところ、「口で取得を目指してます言うのは簡単で信用性に欠ける」とのことでした。

プライバシーマークを取得してしまえば客観的なマークがあり、JIPDECに番号及び事業者名が公表されるので分かりやすいですが、プライバシーマーク取得前に取り組んでいることについて何を持って信用ある答えを得るかが非常に難しいところです。

客観的とは少し言い難いですが、目に見える形でプライバシーマークの取得への取り組みをきちんと行っているかを確認する方法があるにはあります。

一番分かりやすい方法としてはその会社のホームページを確認することです。
プライバシーマークを取得する際にはホームページに規格に準拠した内容の文書をいくつかアップする必要があります。
また遅くてもプライバシーマークの付与申請の段階ではアップしておかなければならないものでもあります。
つまり少なくとも規格に準拠したような内容がホームページにアップされていればプライバシーマークの取得のための準備を行っていると言えます。

具体的にはどのようなところを見るのかですが、まずは個人情報保護方針です。
以前のブログで規格に書かなければならないことがあることはご説明したとおりですが、おおよそ下記の内容が入っていればプライバシーマークの取得のための事項が満たせていると判断出来ます。

・個人情報を取扱う上で利用目的をきちんと定めて目的外利用をしないこと
・国が定める法令等にきちんと準拠することと
・個人情報の漏えい，滅失又はき損の防止をすること及び何かあれば是正すること
・苦情や相談があればきちんと対応すること
・個人情報保護マネジメントシステムを継続的にきちんと見直すこと
・個人情報保護方針の制定年月日、改訂年月日
・代表者の氏名
・個人情報保護方針に関する問い合わせ先

プライバシーマークの取得を意識していない企業はここまで書くことは正直あまりありません。(グループ会社がプライバシーマークを持っていてその個人情報保護方針を流用している場合は別ですが。。。)

もうひとつがホームページ錠の個人情報を入力するページです。
こちらも以前のブログで規格で色々と取得する際は制限があることをご紹介させて頂きました。

個人情報を入力するフォーム等や問い合わせの前や同じページに下記の内容が書かれているかが重要です。

・個人情報を取得する事業者の名称
・個人情報保護管理者の所属や役職
・開示等の請求を含む個人情報の取扱いに関する連絡先
・そのフォーム等から取得する個人情報の利用目的
・第三者提供等の有無
・個人情報の取扱いに関する委託等の有無
・ここに個人情報を入力することが任意であること
・本人が容易に分からない方法で個人情報を取得するかしないか。
・上記内容について同意を得る仕組みになっているか
・そのページが個人情報を入力するフォームになっているのであればそのページがSSLという暗号化処理をされているか(URLがhttpsで始まってるかなど)

これについても個人情報保護方針のところ同様プライバシーマークを意識しなければ全てを行うことはあまりないことかと思います。

他にもいくつか確認出来る内容はありますが、今回上記に記載したプライバシーマークの規格に書かれている事項を全て満たすホームページあればプライバシーマークの取得のために取り組んでいることは恐らく間違いないでしょうし、仮にやっていないにしてもいざ、取得しようとなった際にはかなりスムーズに取得に向けて取り組める意識の高い会社と言えることだと思います。

ただ、仮にプライバシーマーク取得の申請を既に行っているとしても文書審査、現地審査、指摘事項対応と言った様々なフェーズをクリアしてもらう必要があるので早くても2～3ヶ月はかかることかと思います。