Pマーク認証を取得するには、次の事項を全て実施する必要があります。
- JIS規格に適合した規程書(マニュアル)を整備する。
- 規程を運用するための様式を整備する。
ただし、JIS規格3.4.3.2安全管理措置に準ずる規程を整備するには、個人情報のリスク分析を行う必要があり、これが
最大の難関になります。
リスク分析の解説は、こちらを参照して下さい。
- ホームページに個人情報保護方針、個人情報の利用目的、個人情報の開示等の手続きを掲載する。
- ホームページから個人情報を取得する機能がある場合、同意を得る仕組みを実装する。
- 従業員へ個人情報保護方針に沿った教育を実施する。
- 全パソコンのスクリーンセーバー、OSアップデート、ウィルス対策の自動アップデートを設定する。
- 全従業員から誓約書を取得する。
- 個人情報の委託先を特定し、必要に応じて守秘義務の契約を締結する。
- 規程の定めに従って個人情報を取扱う。
個人情報管理台帳、入退室記録、来訪者記録など運用の記録を取る。 - 数ヶ月の運用を経て、内部監査を実施する。
- 内部監査の結果を代表者に報告する。
- 代表者から見直しの指示を受ける。
(規程書を作成する期間が3ヶ月かかると申請できる状態になるのは、スタートしてから約1年後になることもあります)
PMS構築セットには、Pマーク認証を取得するための規程書と様式が含まれております。
PDCAとは?
Plan(計画) :各規程を作成する。どのように運用するか決める。など
Do(運用) :各規程を運用する。
「キッチリと運用しています」ではNGです。
「記録を残す」と規程に定めている場合は、記録を残す必要があります。
例えば、「入退室記録」「ウィルスチェック記録簿」などもその一つです。
Check(確認):DoがPlan通りに実施されているか確認します。
内部監査もこれにあたります。
この確認のために記録が必要になります。
Action(見直):Checkで不備を発見した、あるいはPlanに無理があるなどの場合、
見直しを行いPlanに反映します。
Pマーク認証取得申請には、このPDCAサイクルで発生する全ての文書や記録も必要になります。
これが申請の最低条件と思って差し支えありません。
Pマークの審査について
Pマークを取得する”きっかけ”としては、「取引先から取得を求められた」「個人情報の取扱ルールを構築したい」などがあると思います。
後者の「個人情報の取扱ルールを構築したい」との理由でPマークを取得する際の注意を簡単にまとめます。
Pマークの審査は、「JIS規格に合致した個人情報保護の運用が適切に実施されている」ことを審査されます。
キーは、「JIS規格に合致した」です。
高額な予算を投入して「入退室管理システム」や「映像監視システム」などを導入しても、それがリスク分析の結果で導入したのであれば良いのですが、「業者に聞いたら必要と言われた」では全く意味はありません。
なぜなら、JIS規格ではそのようなシステムの導入は求めていないからです。
「JIS規格に合致しているか否か」が審査されるのです。
「JIS規格に合致している」=「個人情報は保護されている」が、審査です。
