プライバシーマーク取得!着手から取得までの長い道のりについて
こんにちは、東京のWeb制作・ホームページ制作・システム開発(SIer)会社のサービシンク総務の齋藤です。
「プライバシーマーク取得のお知らせ」でもお伝えをいたしましたが、弊社はこの度プライバシーマークを取得いたしました!
「プライバシーマークを取得すること」。それは2019年の私の最大ミッションでした。担当者に任命されたのは2019年4月頃で、テレワーク制度導入も並行して作成を進めていた最中だったので、2019年から再び短時間勤務に戻った私が無事に取得できるかとても不安だったことを覚えています。
今回はプライバシーマーク取得までの道のりについて、お話をしていきたいと思います。長いお話になると思いますが、お付き合いいただけると嬉しいです!
そもそもプライバシーマーク制度ってなに?
プライバシーマーク制度は、個人情報保護体制や運用状況が適切である企業(事業者)を評価して、プライバシーマークを付与しその使用を認める制度です。プライバシーマークがある企業は消費者の方から見ても適切な個人情報取扱をしているかがわかりやすく、社会的な信用を得られるものになります。
「個人情報」とは生体する個人に関する情報であって、情報に含まれる氏名や生年月日その他の記述等により、特定の個人を識別できる情報を指します。たとえば氏名だけでは同姓同名の他人も考えられるので個人を特定することはできませんが、氏名+住所や氏名+生年月日などで特定個人を識別できるものを個人情報といいます。
企業にはお客様情報などをはじめ、たくさんの個人情報が溢れています。その個人情報をひとつひとつ洗い出し、それぞれが適切に運用されているかを管理していく必要があります。
まずはコンサルティング会社の選定から
齋藤に与えられたタスクは「2019年内にプライバシーマークを取得すること」。一般的にプライバシーマークは着手から取得まで6〜7ヶ月程度の期間を要します。年内取得を目標としたとき、遅くとも4月中にはコンサルティング会社を選定し、5月からは取得準備をはじめないと年内取得は難しいだろうと考えました。
まずはコンサルティング会社の資料を請求し、その中から3社まで絞り込みます。そしてその3社を大きくわけて以下5つに着目し比較を行いました。
- コンサルティング費用
- 取得までにかかる期間
- 作成文書にかかる弊社担当者の工数
- 作成文書にかかる代表の工数
- 取得後の運用・更新について
費用と工数のバランスも重要ですが、取得後にきちんと個人情報を管理できるような体制を築き運用できることが何よりも大事だと考えました。そうしなければ「取得したこと」がゴールとなってしまい、長期的な個人情報保護運用が行えないためです。最終的には全体のバランスが一番取れていると判断した会社様に依頼をすることにしました。
各種改修・運用ルールの策定
実際にコンサルティング会社が決定した後は、担当者様との打ち合わせを重ねホームページの改修や運用ルールの策定などを行いました。
ホームページ改修
- 個人情報保護方針の掲載
- 個人情報に関する公表文の掲載
- 問い合わせ・申込みフォームへの同意文例掲載
上記のように、弊社ホームページ(弊社サービスページ含む)に個人情報に関する文例等の掲載作業が必要となります。社内メンバーの力もかりて、改修を行いました。
運用ルールの策定
- 入退室管理
- 入退受付
- 個人情報保護運用チェック
- 個人情報保護教育
- その他環境について
他にも策定したものはありますが、代表的なものをピックアップいたしました。企業が個人情報保護をする上で、誰が個人情報にアクセスできたのかを管理するために必要な作業です。また個人情報保護ルールが正しく守られているか従業員へ教育を行い、定期的に運用チェックも行います。
個人情報の洗い出し作業は長い戦い
次にいわゆるプライバシーマークの最難関と呼ばれる作業、「個人情報の洗い出し」です。これは大きくわけて、「個人情報委託先管理・監督」と「個人情報管理」に分けられます。
個人情報委託先管理・監督
これはサービシンクで取得した個人情報のなかで、外部に業務委託しているものを洗い出し機密保持契約等を締結、委託先として管理・審査する作業になります。
締結が必要な委託先として代表的なものは、名刺印刷会社・個人情報の入力代行業者、データセンター、運送業者、廃棄物依頼業者、社会保険労務士、税理士等が挙げられます。
個人情報管理
次にサービシンクが取得している個人情報をひたすら台帳に書き出します。これは各部署長に依頼をし、自部署が取得している個人情報の取得と委託先・廃棄などについて1つずつ記入をお願いしました。
注意点としては同一の情報でも「紙」と「データ」の両方で保存している場合は、それぞれに分けて記載をする必要があるというところでしょうか。気が遠くなるような作業でしたが、部署長が記入した項目を見直しし、適切に運用されているか確認を行います。
内部監査
そして策定した規程類や台帳、個人情報に関するリスク分析結果などを、監査担当者に確認をしてもらいます。これは個人情報保護管理者が作ったルール通りに運用が行えているかのチェックで、「マニュアルを作っても守られていないと意味がない」ものだからです。
内部監査を行ったのは8月末だったため、ここまででおおよそ3ヶ月の期間を要したことになります。
審査は緊張の連続
内部監査が終わりますと、次は審査申請を行います。
文書審査
まずは策定した規程などを、審査機関へ依頼をし審査してもらいます。規程が日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合しているかなどを文書ベースで審査され、これにクリアすると現地審査へと進みます。
注意すべき点としては、文書審査をクリアしてから現地審査までは時期にもよりますが1ヶ月から1ヶ月半程度時間がかかるので、文書審査は余裕をもって依頼するのがベストです。
現地審査
現地審査とは、審査機関の担当者が実際に企業へ出向き、個人情報管理体制についてチェックを行うものです。またコンサルティング会社の担当者はこの作業には同席しませんので、この現地審査までに個人情報保護責任者である私は会社の運用についてすべて把握をしておく必要がありました。
また現地審査では代表インタビューもあり、企業として個人情報保護についてどのように考えているかなど確認されます。
これだけきくととても難しく怖い印象を受けますが、審査機関の方たちは個人情報保護運用が適切に行われるかを審査してくださっていて、もし適切ではないと判断した場合は「どう是正すればよいのか」アドバイスをしてくださいます。
実際に私も丸一日担当者様とお話をしたのですが、個人情報保護規程の細かい部分まで「どのように運用すればよいか」をあらためて教えていただきました。
嬉しかった点としては、「はじめてプライバシーマークの申請を行うとは思えないほど、台帳が細かくて綺麗です」と褒められたことでしょうか!
指摘事項を修正し、再申請
現地審査を終えると、後日書面で「指摘事項」が送付されます。
作成した個人情報管理台帳などに記入漏れがあった場合や、委託先の管理漏れがあった場合など、現地審査で判明した是正箇所の連絡があり、この指摘事項を修正し再申請を行う形になります。
コンサルティング会社の担当者様からは、「指摘事項は最低でも3つはあると思います。それ以下の会社様はあまり見かけません」と言われていたのですが、驚いたことに2つしか指摘がありませんでした!それだけ細かく運用・管理ができていたのは、社内メンバーの協力のおかげだと感じています。
改善報告は10月末頃に送付し、審査会に上申されたのは11月中旬。あとは付与認定を待つばかり……!
無事にプライバシーマークを取得!
プライバシーマークの付与認定が降りたのは、12月上旬でした。
コンサルティング会社選定から数えると、約9ヶ月間もの長い時間を要したことになり、私自身ここまで長い期間をかけたプロジェクトを管理したことは今までなかったので、使用許諾書が届いたときは思わずガッツポーズ!
使用許諾書をお越しいただいたお客様にもわかるようエントランスに掲示し、2019年の一大ミッションは終了を迎えたのです。
ただプライバシーマークは「取得すること」がゴールではなく、取得した後も「個人情報を適切に管理・運用すること」が最も大事なことになります。これからもサービシンクでは皆様から取得した個人情報を適切に管理し続けますので、今後ともどうぞよろしくお願いいたします!
- 投稿者:
- 総務・管理・サポートディビジョン マネージャー齋藤 祐子
元声優・元ブライダルプランナーの経歴をもつ一風変わった総務。短時間勤務中のワーキングマザーです。
現在は会社のバックオフィス体制強化に尽力中!