プライバシーマークを取得してみませんか②
私は、20年ほど前、以前勤めていた会社で「プライバシーマーク」取得の事務局として、ルール作りや申請書作成、そして「プライバシーマーク付与認定指定機関」への申請前の事前相談、「現地審査」を含め申請後の対応を実体験しました。その後もその会社での更新対応や、別の会社での新規取得、更新対応も経験してきました。その中で、取得に関するいくつかのポイントがありますので、何回かに分けてお話していきましょう。
プライバシーマーク取得に必要なもの
JIPDEC(一般社団法人 日本情報経済社会推進協会)のプライバシーマーク制度のホームページには以下のような説明があります。
プライバシーマーク付与適格性審査を申請できる事業者は、国内に活動拠点を持つ事業者です。
また、プライバシーマーク付与は法人単位となります。
その上、少なくとも以下の条件を満たしている必要があります。
- 「個人情報保護マネジメントシステム—要求事項(JIS Q 15001)」に基づいた「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針(構築・運用指針)」に即し、個人情報保護マネジメントシステム(PMS)を定めていること。
- 個人情報保護マネジメントシステム(PMS)に基づき実施可能な体制が整備されて個人情報の適切な取扱いが行なわれていること。
- PMSの運営体制として、社会保険・労働保険に加入した正社員、または登記上の役員(監査役を除く)の従業者が2名以上いること(JIS Q 15001に基づいた構築・運用指針に即しPMSを構築するためには、個人情報保護管理者、個人情報保護監査責任者の任を負うものが、1名ずつ必要であるため)
どうでしょう?初めての方には少しピンと来ないかもしれませんが、別の言い方をすると以下のようになります。
「個人情報を安全で適切に管理するための標準ルール(JIS Q 15001)に基づいて、自社の個人情報に関するルールづくりを行い、そのルールを推進する体制(個人情報保護管理者・監査責任者・教育責任者等)が整っていること。そして、個人情報管理の計画を策定し、実行し、そのチェックを行い、改善するという、PDCAサイクルが実際に行われていること。」となります。これらのことを毎年々繰り返しながらブラッシュアップしていくことがポイントとなるのです。
新規申請の時に必要となるものは以下のとおりです。
【申請様式1新規】プライバシーマーク付与適格性審査申請書①~③(代表者印の捺印必須) |
【申請様式2新規】個人情報保護体制 |
【申請様式3新規】事業者概要 |
【申請様式4新規】個人情報を取扱う業務の概要 |
【申請様式5新規】すべての事業所の所在地及び業務内容 |
【申請様式6新規】個人情報保護マネジメントシステム文書の一覧 |
【申請様式7新規】教育実施サマリー(全ての従業者に実施した教育実施状況) |
【申請様式8新規】内部監査・マネジメントレビュー実施サマリー |
登記事項証明書(「履歴事項全部証明書」または「現在事項全部証明書」)等申請事業者(法人)の実在を証す公的文書の原本(申請の日前3か月以内の発行文書。写し不可。) |
定款の写し |
最新の個人情報保護マネジメントシステム文書一式の写し(【申請様式6新規】に記載の内部規程・様式の全て。なお、様式は未記入で空欄のままの見本。) |
個人情報を特定した台帳、いわゆる「個人情報管理台帳」の運用記録(様式ではない)の 冒頭1ページの写し |
上記12に対応する、いわゆる「リスク分析結果」の写し |
以上の申請書類をそろえていくわけですが、最初に取り組むべきは、「個人情報の特定」です。
自社にどのような個人情報があるのかを漏れがないようにリストアップする必要があります。その中には、紙媒体だけでなく、データになっているものもあるでしょう。そうした個人情報を特定する手順を構築しておく必要があり、そのためには「業務フロー」を作成するのが一番です。
次回は、「業務フロー」について説明していきます。
※プライバシーマークに関するお問い合わせは、行政書士たかした事務所まで、お気軽にお問い合わせください。