プライバシーマークを取得してみませんか④

業務フローについて

前回は、プライバシーマーク取得に向けて、最初に行う必要があることは「個人情報の特定」で、そのためには、自社の事業の「業務フロー」を作成しましょうという話をしました。
各業務フローの中で、どの段階で個人情報を「取得」し、その後、「移送」・「利用」・「加工」・「保管」・「廃棄」などをふまえ、リスクを洗い出していきます。そして、各々のリスク度合いに応じた適切な対策を考え、それを「規定化」していきます。さらに、対策を講じても残る「残存リスク」の有無について検討します。

以上のことを具体的な例で見ていきましょう。
DM発送代行会社が、①お客様から直接手渡しでDMデータを受け取ったします。この段階で個人情報の取得になり、リスクとしては、DMデータの「紛失」があり、対策例として「授受記録の作成」や「施錠可能な鞄での保管」となります。また、残存リスクとしては、「ひったくり」等が考えられます。
その次に、②DMデータを委託先の印刷業者へメールで移送したとします。この場合、リスクとしては、「漏洩」となります。その対策として、「ファイルの暗号化」や「パスワード設定」等となります。また、残存リスクとしては、「パスワード設定漏れ」等が考えられます。

以上のような作業を、「自らの事業の用に供している」全ての個人情報に対して、個人情報の取得から業務の流れに沿って順次確認していくのです。
そして、「個人情報の特定」と「業務フロー」をふまえ、「個人情報管理台帳」を作成します。その台帳の項目例としては以下のとおりです。

個人情報名	項　　目		入手経路	件　数	利用目的	保管場所	保管期間	廃棄方法
	データ	紙媒体
DM宛名	〇		直接	1000件	発送 データ	自社 サーバー	納品まで	納品時 消去

 

プライバシーマーク取得のお手伝い

以上の第一関門を突破できれば、あとは決まった書式を参考にして、書類を作成していけば大丈夫です。ただ一つ、大変なことは、毎年、役員・従業員を対象とした「教育」の実施(対象者が参加したエビデンスが必要です)と、「監査」の実施です。これらは、忙しかったりして後回しになりがちですが、「プライバシーマーク」は取得することがゴールではなく、毎年ブラッシュアップすることが重要となります。そして更新のサイクルも2年と短期間なので、新規取得からあっという間に更新申請となります。新規取得のときには、しっかりと「教育」「監査」を実施しているでしょうが、次の更新のときには、未実施だったということがないようにしていかなければいけません。
また、「プライバシーマーク」には「現地調査」という、ちょっとした関門があります。現場で何を質問されるかは、その会社ごとに違う項目はありますが、共通する項目も当然あります。現地調査の調査員対策というのも事前に準備が必要です。

「行政書士たかした事務所」では、プライバシーマーク取得・更新についての豊富なノウハウをふまえ、一般のコンサルタント会社より、リーズナブルな料金で、皆様のお手伝いをさせていただいています。どうぞお気軽にお問合せください。