プライバシーマーク(Pマーク)は事業者の個人情報の取扱いが適正であることを示す第三者認証制度です。取得後は、2年に1度更新手続きがあります。
更新手続きの流れは、基本的には取得手続きと変わりません。書類提出、書面審査、現地審査の順で手続きを行います。しかし、更新の場合には特有の留意点と対応のコツがあり、スムーズな更新にはこれらのポイントを踏まえた対応が必要となります。
本記事ではプライバシーマークの更新手続きの手順や内容、更新時のポイントを解説します。
特にプライバシーマークの更新で話題となりやすい教材の提出についても、「教材の提出は必須ではないこと」およびその理由を詳しく紹介しています。
プライバシーマークの更新手続きについておさらい
プライバシーマークの更新手続きは、基本的には取得時の手続きと変わりません。確認する内容は規格
「JIS Q 15001:2017」に準拠したマネジメントシステムの構築と運用が行われていることです。
新規取得の場合と異なる部分としては、それまでの年間を通じた運用を審査される点があげられます。
取得時または前回の更新時から、運用で問題が発生した点が指摘され、修正が必要となるケースも珍しくありません。
PDCA サイクルを回す
Pマーク認証の更新の前に、Pマーク取得時に構築したマネジメントシステムが正しく活用され、個人情報を扱う業務について PDCAサイクルが回されていることが前提となります。
事業活動のなかで Pマークに向けて定められたルールを順守した運用、教育、内部監査がなされていることが更新時の確認対象次項となるためです。
1年を通じて予定された自社のマネジメントシステムが運用され、PDCAサイクルが回っていることが、Pマーク更新では検証され、審査のポイントとなります。
本来、1年間を想定して回すPDCAが一通り計画通りに行なわれたことが確認されます。
また、これと並行して、事業において発生したリスクに対し、適切にリスクアセスメントが行われたこととその結果定められた対応が正しく継続されたことも確認されます。
事業上で発生するリスクは、計画通りではありませんが、発生してしまった事象に対しては、きちんと対処出来ていることも Pマークの取得者には求められるのです。
Pマーク更新時には、審査員は主に記録から確認を行います。
もしも、計画的なマネジメントシステム運用や発生したリスクに対するリスクアセスメントができていなければ修正を行うことが求められます。
申請(文書審査)
Pマーク更新の申請は書面で行います。
プライバシーマーク付与適格性の申請を行い、文書審査に向けた書類も同時に提出します。
申請した書類によって、構築したマネジメントシステムがJIS Q 15001:2017に準拠しているかどうか、文書化されたルール、運用の実績が確認されます。運用実績も、書面にまとめて提出します。
マネジメントシステムに関わる情報を記録・保管すること、定期的または必要に応じてルールを改定し、その際の記録を行うことなど、十分な運用実績の文書化が必要です。
現地審査
現地審査では、実際に審査員が事業所内に立ち入り、業務を行っている現場でルールが守れているか、記録はしっかりと取れているかなどの確認を行います。
現地審査では、「企業内で定めたルールを守れていなかった」「JIS Q 15001:2017に準拠していなかった」「法令などに違反していた」とされる場合には不適合として指摘を受けます。
現地審査の最後には、審査の結果が報告されます。
不適合となった点については是正を行う必要がありますので、必ずその場で不適合となった理由の詳細を聞き、整理しておきましょう。
現地審査指摘事項対応
現地審査の結果で不適合となった点について、是正します。是正を行う際は「根拠となるルール」「実際の運用」「運用した結果」についてまとめておきます。
「不適合の改善方法の具体案」「改善によって見込める効果」「改善により不適合が是正されるこ
と」を合理的に説明できるよう準備しておきましょう。
更新の辞退
プライバシーマークの取得後は通常は定期的に更新を行います。もし、更新を行わない場合には更新を辞退する必要があります。
更新を辞退をする場合は、辞退届の提出が必要です。様式等の詳細や提出先については、直近の審査を受けた各審査機関へ問い合わせます。不明な点については、プライバシーマーク推進センターにて確認できます。
さらには、プライバシーマークのロゴを名刺などで利用していた場合には、更新辞退に伴いロゴの除去が必要となる点にも注意が必要です。プライバシーマーク付与契約なしにロゴを使用している場合には、不正使用にあたります。
プライバシーマーク更新手続きのチェックを漏れなく実施するには
プライバシーマークの更新手続きにおいては、書類の申請とともに、規格に沿ったマネジメントシステムが運用されていることが必要となります。
プライバシーマークを取得する際にマネジメントシステム・ルールを設定したはよいものの、その後うまく運用できていなかったような場合には規程の見直しから取り組む必要があります。
LRM株式会社では、Pマーク更新対応コンサルティングサービスを実施しています。
特に下記に当てはまるお客様におすすめします。
- 初めての更新対応で何をすればいいのか分からない
- 2年間の運用が不十分で更新出来るか不安
- コンサルタント会社の担当が変わって、新しい担当に相談しづらい、更新を機に会社を変えたい
Pマークを前任から引き継いだ担当者の方にもよく利用されています。
プライバシーマーク更新手続きに向けて、規程の見直しから書類の準備までをサポートいたします。
Pマーク認証に関して要求事項と会社の事情等の両方のバランスをとり、貴社で「運用できる」認証取得
を心がけ、2,300社以上の支援実績を持っています。安心してプライバシーマーク更新を行いたい方に向けてご利用をおすすめします。
プライバシーマーク更新時に教材の提出は必要ない
プライバシーマークのコンサルティングを行っていると、新規取得や更新を控えるお客様から時折「プライバシーマークの申請では従業員教育で利用した資料の提出が求められるので、資料のデータをください」といったお問い合わせをいただきます。
しかし、教材を印刷して提出するのはあくまで任意であり、必須ではありません。
紙ベースの教材によらず、eラーニングの従業員教育を行うことについては、特に問題はありません。
提出が任意とはどういうことなのか。もう少し詳しくご説明いたします。
プライバシーマーク更新時の教材は、なぜ任意提出なのか?
教材の提出は、プライバシーマークの更新時までに運用上必須とされる教育実施の内容を証明するためのものです。他の手段で証明できれば問題はありません。
それでもなお、教材の提出を求められるとすると、「わかりやすい証明手段により、効率よく審査をするため」と考えられます。
しかし、教材を事前に提出することで提出しない場合に比べて、審査時間が大幅に短縮 / 効率化できるということは、実際のところあまりないようです。
あえて事前提出のメリットを挙げるならば、現地審査での確認項目が減る分、審査員に余裕が生まれ、別の項目の確認をより綿密におこなってもらえるかもしれない、という程度です。
プライバシーマークの申請を行うにあたって、組織は構築したマネジメントシステムを運用し、個人情報
保護の取り組みをおこなった記録を申請書に記載し、審査機関に提出する必要があります。しかし、その記録の中には、必須のものとそうでないものがあります。
例えば、「文書管理台帳」「教育実施記録」「内部監査の結果」「マネジメントレビュー記録」などは審査の際には必ず提出をする必要があります。また、会社の移転、代表者の変更、個人情報保護管理者の変更等があった場合には、上記に加えて「登記事項証明書」「定款の写し」「変更報告書」などの提出も必要です。
教材が必須というわけではなく、eラーニングの受講やテストの記録などを提出すれば教育実施記録の提出をしたことになります。どこまで記録が求められるかについては次項にて記載します。
プライバシーマーク更新時に教材を提出しなかった結果、審査員から指摘を受ける可能性はないの?
教材が必須ではない以上、指摘を受ける可能性はありません。
教育資料の確認は、現地審査でおこなわれます。
その際、「実際に使用した教育資料を見せてください」と言われることはありますが、「提出してください」と求められることはまずありません。電子ファイルのスクリプトや、スライドなど、形式も紙である必要はありません。
プライバシーマーク更新時に教材を提出しなかったことについて、もし審査員から文句を言われたら?
それは審査員の「愚痴」で、指摘事項ということではありません。
「事前に教材を提出してくれていれば~」というようなことを言われた場合、それは審査員の方が、審査における時間管理をできていない可能性があります。
更新の際に、こうした必須とは言えない資料の提出を求められた場合は審査機関に報告し、「審査が”よ
り”効率的・効果的なものとなったのか」「そもそも効率的・効果的な審査を望める審査員であったのか」を確認し、場合によっては審査員を変更してもらったほうが良いこともあります。
プライバシーマーク更新時に各従業員の受講履歴は必要?
各従業員が受講したことを記録した履歴は不要です。
ただし、「教育実施記録」は必要ですのでご注意ください。
組織として企業が教育を実施したことが確認できればよいため、「誰が何回受講したのか」「誰が何点だったのか」といった個々人の受講履歴を提出する必要はありません。
教育に関して提出が必要なのは、「教育後におこなった効果測定(テストなど)に従業員全員が合格した」
という記録だけです。
各従業員が受講したことを記録した履歴は不要です。ただし、「教育実施記録」は必要です。
組織として企業が教育を実施したことが確認できればよいため、「誰が何回受講したのか」「誰が何点だったのか」といった個々人の受講履歴を提出する必要はありません。
教育に関して提出が必要なのは、「教育後におこなった効果測定(テストなど)に従業員全員が合格した」という記録だけであることを知っておいてください。
プライバシーマーク更新時の審査はeラーニングで本当に通るの?
eラーニングは、教育をより効率的・効果的なものとし、従業員の個人情報保護の意識改革につなげるものです。受講管理システムと組み合わせたeラーニングは受講の効果測定も正確に実施しやすいメリットがあります。
そのため、教育をeラーニングで行っていることについては審査上、何の問題もなく、eラーニングで教育を実施したからといって審査に通らないことはまずありえません。また、クラウドサービスだからといって審査に通らないこともありえませんので、ご安心ください。
LRM株式会社が提供している「セキュリオ」では、プライバシーマークの教育に対応した教材をeラーニングで配信しています。
プライバシーマークの教育に関して「教材作成が面倒」「従業員を集めて教育を行っているが、日程調整等の工数が膨大にかかる」とお悩みの方は、ぜひプライバシーマークの教育に対応した「セキュリオ」のeラーニングを14日間の無料トライアルからお試し下さい。工数の削減とより効果的な教育を実現できます。
まとめ
プライバシーマークを取得した場合、その後は2年に一度の更新が必要です。
プライバシーマークの更新においては、書類や現地審査などの手続き面の対応と、個人情報保護に関するマネジメントシステム・規程が正しく運用出来ていることの両方を満たす必要があります。
プライバシーマークの担当を前任から引継ぎ、マネジメントシステムや規程について不明点があるような状況ならば、LRM株式会社のPマーク更新対応コンサルティングサービスをおすすめします。
