個人情報保護マネジメントシステムは略称として「PMS」と呼ばれています。
PMSを構築し、実際の運用が行われ、教育や監査、代表者による見直しが実施できた段階で、プライバシーマークの認定申請を行うことができます。
また、プライバシーマークの認定申請を行った後は、「文書審査」⇒「現地審査」があり、それぞれについて各種指摘事項に対する対応を行います。申請から認定までの期間は早くても2~3か月程度となります。
1.PMSの構築
A.プライバシーマーク認証取得体制への組織的支援
PMSの構築には、様々な資料等の入手や、自社内の個人情報の取扱い状況の内容把握、 基本要素の文書化、教育、監査などの手法等を検討していかなければなりません。
そのため、PMSを構築するための体制(プロジェクトチーム)作りが必要です。
チームのトップは代表者やこれに準じた地位の方(担当役員など)がトップダウンで行うなど、PMSの運営は全社に浸透させる必要があるため、円滑に行なえる体制を作っておく必要があります。
PMSの運営には、少なくとも個人情報保護管理者と個人情報保護監査責任者を設置する必要があります。この両名は兼任することができず、会社内部の者から指名する必要があります。また、個人情報保護管理者は会社の監査役・会計参与等でないことに注意が必要です。
また、チームメンバーには以下のものを選任し、構成していきます。
①複数の部署で構成されている場合はその部門長
②情報システム担当者
これは、PMSの運用は全社で行い、統一的な実施を行う必要がるため、決定権のあるものや部門の責任者をチームに参加させることで、より浸透度合いも高くなり、また、現場の現状の業務の把握も可能となるからです。
情報システム担当者をチームに参加させる意味は、現状の事業所では、情報システムを導入しているところがほとんどであり、大掛かりなものではくとも、パソコンなどの取り扱いについて明るい人材が参加していると、その分野の対応が比較的容易になるためです。
B.プライバシーマーク認証取得計画の策定
PMSを構築し運用し最終的にPマークの付与を受けるための申請までの行程の洗い出しを行ないます。
10名程度の組織であれば、運営や教育もスムーズに行なえますが、人数や部署が多い場合には、作業計画を立て下準備の期間や運営開始時期、プライバシーマーク認定申請の時期などを明確にすることで、より効率的にPMS構築をすることができます。
C.個人情報保護マネジメントシステムの実施とパフォーマンス評価
以下のようなPMSを構築し、実際の運用がなされ、教育や監査、代表者による見直しが実施できた段階で、プライバシーマークの認定申請を行うことができます。
| № | 規程類の整備 | № | 運用の整備 | |||
|---|---|---|---|---|---|---|
| 1 | 内部向け個人情報保護方針の策定 | |||||
| 2 | 外部向け個人情報保護方針の策定 | |||||
| 3 | 内部規程の整備 | 4 | 記録の管理 | |||
| 個人情報を特定する手順 | 個人情報の特定に関する記録 | ・個人情報管理台帳 | ||||
| 法令、国が定める指針その他の規範の特定、参照および維持に関する規定 | 法令、国が定める指針その他の規範の特定に関する記録 | ・法令一覧 | ||||
| 個人情報保護リスクアセスメントおよびリスク対策の手順に関する規定 | 個人情報保護リスクの認識、分析および対策に関する記録 | ・フロー図 ・リスク分析表 |
||||
| 組織の各部門および階層における個人情報を保護するための権限および責任に関する規定 | - | ・個人情報保護体制 | ||||
| - | 計画書 | ・教育実施計画 ・内部監査実施計画 |
||||
| 緊急事態への準備および対応に関する規定 | - | - | ||||
| 個人情報の取得、利用および提供に関する規定 | 利用目的の特定に関する記録 | ・利用目的 | ||||
| 個人情報の適正管理に関する規定 (外部委託先の管理に関する規定含む) | - | ・同意書 ・誓約書(入社時、退職時) ・文書管理簿 |
||||
| 本人からの開示等への対応に関する規定 | 保有個人データに関する開示等の請求等への対応記録 | ・利用目的の通知 ・保有個人の通知、データ開示請求書 ・保有個人のデータ訂正、追加または削除請求書 ・保有個人のデータ利用の停止、消去または提供のまたは第三者への提供の停止請求書 |
||||
| 認識などに関する規定 | 教育などの実施記録 | ・教育実施報告書 | ||||
| 文書化した情報の管理に関する規定 | ー | - |
||||
| 苦情および相談への対応に関する規定 | 苦情および相談への対応記録 | ・苦情および相談記録 | ||||
| 運用の確認に関する規定 | 運用の確認の記録 | ・運用の確認チェックシート | ||||
| 内部監査に関する規定 | 内部監査の記録 | ・是正処置計画書兼報告書 | ||||
| マネジメントレビューに関する規定 | マネジメントレビューの記録 | ・議事録 | ||||
| 是正処置に関する規定 | 是正処置の記録 | ・是正処置計画書兼報告書 | ||||
| 内部規程の違反に関する罰則の規定 | - | - | ||||
2.認証申請
申請書類(指定書式)一式を、指定審査機関のサイトからダウンロードして、書類を作成し提出します。
申請料は事業者規模により異なります。
申請後、申請書類に不備がなければ2~3週間で受理され、現地審査日が通知されます。
3.文書審査
提出したPMS文書(規程類、様式等)の審査結果が現地審査約1ヵ月前に郵送されてくる。
審査結果が「×」、「△」の項目については、現地審査までに改善を行います。
4.現地審査
現地審査では、PMSの実施および運用の状況を確認します。審査員が事業者に出向き、ヒアリング、記録等の確認、現場の視察等により、確認を行います。
①トップインタビュー
代表者へヒアリングを行うことにより、代表者のPMSへの関与を把握します。
トップインタビューでは概ね以下のような事項について、状況を確認します。
- 事業内容、経営方針等について
- 個人情報に関する事故の有無
- 申請動機や個人情報保護の目的
- 個人情報保護方針について
- 個人情報保護のための人的資源(体制)について
- マネジメントレビュー
②PMSの運用状況の確認
申請担当者や個人情報保護管理者、個人情報監査責任者等に対して、実際のPMSの運用状況を確認します。事業の内容を詳細にヒアリングし、個人情報を取り扱う業務ごとに個人情報の特定やリスクアセスメント、リスク対策および安全管理措置等の状況確認をします。
また、従業者の教育や内部監査等のPMS運用状況も確認します。
PMS運用状況の確認では、審査員が、運用状況の確認のために改めてPMS文書(内部規程や様式類)や、実際の運用の記録の提示を依頼されることがあるので、あらかじめご準備をしておく必要があります。
③社内現場の安全管理状況の確認
個人情報を実際に取扱っている執務室や作業場等で、事業者が講じている安全管理措置の実施状況を確認します。安全管理措置は、事業者のリスクを分析した結果に応じて講じられるものであり、一律の対応が求められるのではありません。
④総括
総評として、審査員からPMS運用において改善が必要であると判断された事項(指摘事項)などについて、確認と説明が行われます。
※現地審査終了後、請求書が送付されてくるので審査料+現地審査に係る交通費、宿泊費等を支払います。なお、現地審査を再度実施した場合には別途再審査費用がかかることになります。
5.指摘対応
現地審査から約1週間後に、審査結果が郵送されてきます。改善すべき事項がある場合は、指摘事項の項目ごとに、不適合となった真の原因を追究し、3ヶ月以内に改善報告書と改善証跡(エビデンス)を提出します。
6.審査会
すべての指摘事項が改善された後、約1か月後の審査会でプライバシーマーク付与適格性の認証の最終判定が行われます。状況によっては、再度改善が必要と指示されることもあります。
7.プライバシーマーク認証取得
審査会の付与適格決定日を起算日として、1~2週間後に事務局より付与適格認証通知、プライバシーマークの使用注意などが郵送されてきます。
付与適格決定と判断された事業者はプライバシーマーク付与機関であるJIPDECと「プライバシーマーク付与に関する規約」に基づき「プライバシーマーク付与契約」を締結することで、プライバシーマーク登録証と事業者固有のマークが提供されます。
プライバシーマークの有効期間は2年間となっており、2年分の付与登録料を支払います。