プライバシーマークの更新手続きとは?更新時の教材の提出要否も解説

この記事は約7分で読めます。

プライバシーマークは、2年に1度更新手続きがあります。
更新手続きの流れは、基本的には取得手続きと変わりません。書類提出と、書面審査、現地審査の順で手続きが行われます。 

しかし、更新の際には特有の留意点と対応のコツがあり、これらを踏まえて対応する必要がありますので以下でポイントを説明します。また、更新時は特に教材の提出が話題にのぼりやすいところです。
教材の提出は、必須ではないこと、またその理由についても解説します。

プライバシーマークの更新手続きについておさらい

プライバシーマークの更新手続きは、基本は取得手続きと変わりません。
JIS Q 15001:2017に準拠したマネジメントシステムの構築と運用が行われているかの確認を行います。 

しかし、新規取得の場合と異なり、それまでの年間を通じた運用を審査されるため、うまく運用できなかった部分を指摘され、修正を行う必要性が生じることも少なくありません。

PDCAサイクルを回す

Pマーク認証の審査を受けるための申請を行う前に、生きた事業活動のなかで定められたルールを順守した運用、教育、内部監査など、1年を通じて予定された自社のマネジメントシステムを動かすこと、すなわち、PDCAサイクルが回っているか検証することが審査のポイントとなります。 

本来1年間を想定して回すPDCAを一通り計画通りに行い、他方で、動く事実である事業に合ったリスクアセスメントと結果に対しては適切な対応ができているかを審査員は主に記録から確認します。もしもできていなければ修正を行うことが求められます。

申請(文書審査)

まず、更新の申請は書面で行います
書面でプライバシーマーク付与適格性の申請を行い、審査をうけます。 

書面申請と同時に構築したマネジメントシステムがJIS Q 15001:2017に準拠した内容になっているのかどうかの確認、及び文書化されたルール、運用の実績を確認されます。
運用実績も、書面で提出します。記録を保管し、定期または必要に応じてルールを改定した記録を行うなど、十分な運用実績の文書化が必要です。

現地審査

現地審査では、実際に、審査員の方が事業所内に立ち入り、業務を行っている現場でルールが守れているのか、記録はしっかりと取れているのかといった確認を行います。 

現地審査では、企業内で定めたルールを守れていなかった、JIS Q 15001:2017に準拠していなかった、法令などに違反していたといったものは不適合として指摘を受けます。 

現地審査の最後には、審査の結果が報告されます。
是正を行う必要がありますので、不適合があった場合は必ずその場で不適合となった理由の詳細を聞いて整理しておきましょう

現地審査指摘事項対応

現地審査の結果で不適合となった点について、是正していきます。 

是正を行う際は、根拠となるルール・実際の運用・その結果についてまとめておき、どう改善するのかの具体案と、改善を行うとどのような効果が見込まれ、不適合の結果が是正されるのか、合理的に説明できるようにします

プライバシーマーク更新時に教材の提出は必要ない

ところで、プライバシーマークのコンサルティングを行っていると、新規取得や更新を控えるお客様から時折「プライバシーマークの申請では従業員教育で利用した資料の提出が求められるので、資料のデータをください」といったお問い合わせをいただきます。 

しかし、教材を印刷して提出するのはあくまで任意であり、必須ではありません
紙ベースの教材によらず、e ラーニングの従業員教育を行うことについては、特に問題はありません。提出が任意とはどういうことなのか。もう少し詳しくご説明いたします。

プライバシーマーク更新時の教材は、なぜ任意提出なのか?

教材の提出は、プライバシーマークの更新時までに運用上必須とされる教育実施の内容を証明するためのものです。他の手段で証明できれば問題はありません。
それでもなお、教材の提出を求められるとすると、「わかりやすい証明手段により、効率よく審査をするため」と考えられます。 

しかし、教材を事前に提出することで提出しない場合に比べて審査時間が大幅に短縮、効率化できるということは、実際のところあまりないようです。
あえて事前提出のメリットを挙げるならば、現地審査での確認項目が減る分、審査員に余裕が生まれ、別の項目の確認をより綿密におこなってもらえるかもという程度です。 

プライバシーマークの申請をおこなうにあたって、組織は構築したマネジメントシステムを運用し、個人情報保護の取り組みをおこなった記録を申請書に記載し、審査機関に提出する必要がありますが、必須のものとそうでないものがあります。 

例えば、「文書管理台帳」「教育実施記録」「内部監査の結果」「マネジメントレビュー記録」などは審査の際には必ず提出をする必要があります。
また、会社の移転、代表者の変更、個人情報保護管理者の変更等があった場合には、上記に加えて「登記事項証明書」「定款の写し」「変更報告書」などの提出も必要です。 

教材が必須というわけではなく、eラーニングの受講やテストの記録などを提出すれば教育実施記録の提出をしたことになります。どこまで記録が求められるかについては後程ふれます。

プライバシーマーク更新時に教材を提出しなかった結果、審査員から指摘を受ける可能性はないの?

教材が必須というわけではない以上、指摘を受ける可能性はありません。 

教育資料の確認は、現地審査でおこなわれます。 

その際、「実際に使用した教育資料を見せてください」と言われることはありますが、「提出してください」と求められることはまずありません。電子ファイルのスクリプトや、スライドなど、形式も紙である必要はありません。

プライバシーマーク更新時に教材を提出しなかったことについて、もし審査員から文句を言われたら?

それは審査員の「愚痴」で、指摘事項ということではありません。「事前に教材を提出してくれていれば~」というようなことを言われた場合、それは審査員の方が、審査における時間管理をできていない可能性があります。 

更新の際にこうした必須とは言えない資料の提出を求められた場合は、審査機関に報告し、「審査が”より”効率的・効果的なものとなったのか」「そもそも効率的・効果的な審査を望める審査員であったのか」を確認し、場合によっては審査員を変更してもらったほうが良いこともあります

プライバシーマーク更新時に各従業員の受講履歴は必要?

各従業員が受講したことを記録した履歴は不要です。ただし、「教育実施記録」は必要です。 

組織として企業が教育を実施したことが確認できればよいため、「誰が何回受講したのか」「誰が何点だったのか」といった個々人の受講履歴を提出する必要はありません。 

教育に関して提出が必要なのは、「教育後におこなった効果測定(テストなど)に従業員全員が合格した」という記録だけであることを知っておいてください。

プライバシーマーク更新時の審査はeラーニングで本当に通るの?

eラーニングは、教育をより効率的・効果的なものとし、従業員の個人情報保護の意識改革につなげるものです。受講管理システムと組み合わせたeラーニングは受講の効果測定も正確に取得しやすいメリットがあります。 

そのため、審査上、何の問題もなく、eラーニングで教育を実施したからといって審査に通らないことはまずありえません。また、クラウドサービスだからといって審査に通らないこともありえませんので、ご安心ください。 

弊社が提供している「Seculio」では、プライバシーマークの教育に対応した教材をeラーニングで配信しています。 

プライバシーマークの教育に関して「教材作成が面倒」「従業員を集めて教育を行っているが、日程調整等の工数が膨大にかかる」とお悩みの方は、是非プライバシーマークの教育に対応した「Seculio」のeラーニングを14日間の無料トライアルからお試し下さい。工数の削減とより効果的な教育を実現できます。

まとめ

プライバシーマークの更新には、企業が実情にあったPDCAを回して、個人情報マネジメントシステムの維持向上に取り組んでいることの証明が求められます。 

しかし、事前提出書類は必須のものを提出すれば差し支えなく、よく更新時の話題にのぼる紙の教材の事前提出は必須ではありません。紙の教材を使わず、eラーニングを使うことは教育の効果からも、必須の教育実施記録を効率的に取得できる点でも有益です。

認証取得を目指すPマーク
タイトルとURLをコピーしました