プライバシーマークの取得方法は? | マーク認証までの手順を解説
プライバシーマーク取得に向けて取り組みを行うことを決定したものの、何から始めていいのか分からず、スタートアップでつまづいてしまう企業様はかなり多いのではないでしょうか?
「とりあえずセキュリティ対策をしよう」などと単純な取り決めを行ってもプライバシーマークを取得することはできません。プライバシーマーク制度ではISOなどと同様に厳密な認定基準があるので、事業者はその認定基準に従い、各種実施記録(エビデンス)を用意する必要があります。
そこでここでは、順を追って出来る限り分かりやすく、各種文書の作成方法やプライバシーマーク取得までの手順を解説したいと思います。
プライバシーマーク取得に必要な規格・ガイドラインは?
先ほども述べましたが、プライバシーマークを認証を受けるには、ただ単に「厳重な情報セキュリティ対策」を実施すれば良いという訳ではありません。JIS(日本工業規格)が発行する「JIS Q 15001:2017」の要求事項に適合し、プライバシーマーク付与認定機関からマーク使用の許可を得る必要があります。
プライバシーマークを取得するには、次に紹介する規格・ガイドラインの要件に従い、個人情報保護マネジメントシステム(PMS※)を構築・運用する必要があります。
PMSは、Personal Information Protection Management Systems の略。
JIS Q 15001:2017 個人情報保護マネジメントシステム-要求事項
まず、当然ですが「JIS Q 15001:2017」の規格本体が必要です。
規格冊子は、日本規格協会のウェブサイト「JSA Webdesk」で購入できます。
トップページの検索フォームに「jisq15001」と入力して検索すると、規格販売ページに移行します。紙冊子版とPDF版(各4,320円(税込))が用意されていますが、PDF版は画像ベースになっているので、文書内のテキストをコピーする、検索する、などはできません。
ただし、データ閲覧や印刷ができるなど、利便性の面ではPDF版がオススメです。
規格冊子を持っておくことが望ましいですが、費用を抑えたい場合は閲覧のみで済ませる方法もあります。
日本工業標準調査会:データベース検索-JIS検索ページの検索フォームで、先ほどと同じく「jisq15001」と検索してください。「JIS Q 15001:2017」の条文他、全ての内容をPDF形式で閲覧できます。
規格冊子の構成などについては、以下ページで解説しています。
関連記事
「JIS Q 15001:2017」のガイドラインで文書構成を確認
「JIS Q 15001:2017 個人情報保護マネジメントシステム - 要求事項」が2017年12月20日に公示され、20...
個人情報保護マネジメントシステム導入・実践ガイドブック
プライバシーマークの公式ガイドブック。
プライバシーマークの付与認定機関である一般財団法人日本情報経済社会推進協会(JIPDEC)が作成し、日本規格協会(JSA)が発行しています。
プライバシーマークの取得を目指すのであれば、本ガイドブックは必須です。ウェブ上での閲覧はできませんので、書籍を購入する必要があります。
先にご紹介したJIS規格本体「JIS Q 15001:2017 個人情報保護マネジメントシステム-要求事項」は、実施すべき事項の「概略」なのに対し、本書では、規定文の解釈や具体的な審査基準など、条文ごとに踏み込んだ解説があり、非常に分かりやすい構成になっています。
アマゾンや書店などを見ると、他にも様々な関連書籍がありますが、基本的に必要ありません。
多くの情報に埋もれてしまうとかえって混乱を招きますので、公式ガイドブックをベースに地道に取り組みを進めることが一番の近道だと思います。
参考書籍 – Amazon.co.jp
個人情報保護マネジメントシステム導入・実践ガイドブック(JIS Q 15001:2017) 第2版: PマークにおけるPMS構築・運用指針対応
プライバシーマークの審査ポイントを抑え、「JIS Q 15001:2017」の条文を詳しく解説した公式ガイドブック。
内部規程を作成する
先にご紹介したJIS規格本体「JIS Q 15001:2017 個人情報保護マネジメントシステム-要求事項(以降、「JIS規格」と表記。)」は、本文から始まり、付属書A~Dという構成がセットになっています。
プライバシーマークを取得するには、基本的に付属書Aの要求事項に対応する必要があります。(他の文書の説明は別の機会に触れたいと思います。)
そして、「個人情報保護マネジメントシステム導入・実践ガイドブック(JIS Q 15001:2017) 第2版: PマークにおけるPMS構築・運用指針対応(以降、「ガイドライン」と表記。)」では、この付属書Aの要求事項をさらに掘り下げ、どのように対応すべきなのか、審査のポイントを抑えた具体的な説明がなされています。
したがって、内部規程を作成するにあたっては、ガイドラインの指示をベースに、付属書Aの要求事項をクリアしていくことが現実的な作業の進め方になります。
内部規程の構成について
作成する内部規程の名称については特に指定はありませんが、「株式会社○○○○ 個人情報保護基本規程」など、容易に文書の内容が推測できる名称が良いと思います。
条文の構成についてはJIS規格の構成をそのまま踏襲することを強く推奨します。
というのは、JIS規格と内部規程がしっかりと紐づけられていないと、文書の管理や引き継ぎ、審査機関への申請などに手間取る可能性が高くなり、また、プライバシーマークの認定審査を受ける際、文書構成が複雑であるほどその解釈に幅ができてしまい、思わぬ是正指示を受けることも考えられるからです。
ガイドラインの目次を確認してみてください。
付属書Aにあたる条文名が「A.3.1 一般」~「A.3.8 是正処置」となっています。
これにならって、内部規程でも「1.1 一般」~「1.3 是正措置」のようにタイトルを踏襲すると、付属書Aと内部規程との関係が分かりやすくなります。
条文の書き方について
条文の書き方はどのような形式でも結構ですが、基本的には付属書Aの各条文に対して一つ一つ返答していく方法がシンプルで分かりやすいと思います。
例えば、付属書Aの条文「A.3.3.1 個人情報の特定」では、以下のように記載されています。
組織は、自らの事業の用に供している全ての個人情報を特定するための手順を確立し、かつ、維持しなければならない。・・・(以下省略)
ここでは、個人情報の特定(洗い出し)のための手順を策定することを求められていますので、その手順を定め、条文化します。
ガイドラインの内容をしっかりと踏まえたうえ、できる限りシンプルな条文にすることがセオリーですが、条文のボリュームが大きくなる場合は、別規程や手順書などとして分離する方法を検討しても良いと思います。
関連文書の作成について
上記のようにガイドラインに沿って内部規程の条文を作成していくと、手順やルールを決めるだけでなく、関連文書を作成する必要があることに気づくと思います。
例えば、付属書A「A.3.2.1 内部向け個人情報保護方針」では、以下のように要求しています。
トップマネジメントは、内部向け個人情報保護方針を文書化した情報を、組織内に伝達し、必要に応じて、利害関係者が入手可能にするための措置を講じなければならない。
この要求事項に応えるには、別途「内部向け個人情報保護方針」を作成する必要があります。
その他、従業員教育や内部監査を始め、計画・報告が必要なフローについては、要件に応じた計画書・報告書の様式(雛型)などの作成が必要になります。
組織体制を構築する
内部規程で定めた手順と方法で組織体制を定めます。具体的には組織体制図を作成し、各担当者を決め、責任の所在と役割、権限などを明確化します。
勿論、各役割についてはJIS規格やガイドラインでクリアすべき要件があるので注意が必要です。
組織体制の構築方法については、以下記事で詳しく紹介しています。参考にしてください。
関連記事
プライバシーマークの取り組みを始めるには、まず、個人情報保護マネジメントシステム(PMS)の基礎...
また、ここで決めた体制は、従業員教育などで組織内に周知する必要があります。
個人情報のセキュリティ対策(安全管理措置)を立案する
内部規程で定めた手順を踏まえ、組織内で行う個人情報のセキュリティ対策(安全管理措置)を立案します。
個人情報の特定
まずは個人情報の特定(洗い出し)を行います。組織内で取り扱う個人情報は何か、内部規程で定めた方法で漏れなくリストアップし、個人情報の管理台帳を作成します。
台帳の形式(紙媒体/データ媒体)は問われませんが、記載方法や個人情報の管理項目についてはガイドラインに詳しく要件が記載されているので注意が必要です。
関連記事
個人情報保護法やプライバシーマーク制度では、個人情報を適切に管理することが求められます。
リスクアセスメント(リスクの分析・評価)
特定した個人情報の項目に対して、個人情報保護リスクを分析・評価します。そして、評価した内容に従い、どのようなにリスク対策を行うのか組織内で検討します。
ここでのポイントは、できる限り業務の負担を増やさず、無理なく実施できるルールづくりを行うことです。
セキュリティ対策を規程化する
リスクアセスメントで決定したリスク対策を、安全管理措置として規程化します。
先に作成した内部規程に組み込んでも結構ですが、性質上、現場で実施する具体的なセキュリティ対策にあたるので、別規程として管理する方法もオススメです。
セキュリティ対策のみの独立した規程を持っておくと、従業員への教育や通知で文書をそのまま使用することもでき、利便性でメリットがあります。
個人情報保護マネジメントシステム(PMS)を運用する
ここまでで定めた内容に従い、個人情報保護マネジメントシステム(PMS)を運用します。運用計画を立て、内部規程やセキュリティ対策(安全管理措置)で取り決めたルールを遵守し、実施事項をこなしていきます。
ここでの実施内容は、従業員教育や内部監査、個人情報保護マネジメントシステム(PMS)全体に対する見直し(マネジメントレビュー)等、全てのフローを含みます。
プライバシーマークの申請を急いでいる場合はスケジュールを詰めて実施することも考えられますが、セキュリティ対策(安全管理措置)など、一定期間組織内で実施してみないと効果が検証できない項目もあるので留意が必要です。
プライバシーマークの申請方法
個人情報保護マネジメントシステム(PMS)を運用し、定められた内容を一通り実施したら、内部規程や実施記録等をまとめ、審査機関に提出します。
申請先の審査機関は本社の所在地や属性により所轄が決まっています。詳しくは、一般財団法人 日本情報経済社会推進協会(JIPDEC)が運営するプライバシーマーク制度ページの「プライバシーマーク指定審査機関一覧」で確認してください。
申請書をダウンロードする
申請先が分かったら、当該審査機関のホームページから「申請書」をダウンロードします。
例えば、審査機関が一般財団法人関西情報センター(KIIS)であれば、「プライバシーマーク審査グループ – 申請方法」のページで申請書を入手できます。
申請書類を審査機関に提出する
審査機関のウェブサイトなどで申請方法や手順を確認し、必要な文書をまとめて提出します。
掲載されている手順に従って書類を準備していけばそれほど迷うことはないと思います。ただし、申請書の様式や申請手順については審査機関によって若干変わるので注意してください。また、登記事項証明書や組織の定款の写しなどを求める項目もありますので、別途準備が必要です。
基本的に申請書類一式はプリントアウトし、配送記録が残る方法(書留など)で審査機関に送付します。
申請からプライバシーマーク取得まで
申請が受理されると審査機関から連絡が来ます。仮に申請書類の不備や記入漏れなどがあれば、その時に修正や補完をするよう指示があります。
審査機関からの指示に対応し、申請書類について全てOKが出ると審査の段取りが始まります。
文書審査
まず、申請料の請求書が届き、支払いが完了すると文書審査が始まります。
文書審査では、提出された内部規程のJIS規格への適合状況や各種手順の整備状況を厳正に審査されます。
JIS規格への不適合などがあった場合は「指摘事項」として是正を求める文書が届きますので、その内容に対応していきます。対応後は是正を行ったことを証明する文書を審査機関に提出します。
現地審査
文書審査に合格すると、現地審査の段取りに進みます。
現地審査の前に審査料の請求書が送付されてきますので、所定金額の支払いを済ませます。
その後、審査チームによる現地審査の日程を確認されますので、希望を伝え、日時を決定します。
現地審査当日のスケジュールは、概ね以下のようになります。
- トップマネジメント(代表者)へのインタビュー
- 個人情報保護マネジメントシステム(PMS)の運用状況の確認
- 現場での実施状況の確認(個人情報保護方針の周知、セキュリティ対策の実施状況 他。)
- 指摘事項等の説明
後日指摘事項をまとめたものが文書として送付されてきますので、文書審査の時と同じ方法でこれに対応し、是正を行い、必要な文書やエビデンスを提出します。
プライバシーマークの付与認定
現地審査の指摘事項を是正し、無事プライバシーマークの付与認定が確定したら、一般財団法人日本情報経済社会推進協会(JIPDEC)にプライバシーマーク付与登録料(2年間)を納めます。
後日、交付されたプライバシーマークの賞状、ウェブサイトや印刷物で使用するマークデータ一式が送付されますので、同封されている使用方法のガイドに従い、プライバシーマークの使用を開始します。
申請料等、必要な費用については以下ページでご確認ください。
関連記事
JIPDEC(日本情報経済社会推進協会)とは? | プライバシーマーク制度での役割について
JIPDEC(日本情報経済社会推進協会)とは、情報処理産業の発展及び開発などを目的とした一般財団法人...
