プライバシーマーク（Pマーク）の維持更新は大変か。負担軽減の考え方と事例。

2018年12月7日

こんにちは。ＩＳＯコム通信にアクセスしていただきありがとうございます

今回のテーマ「プライバシーマーク（Pマーク）の維持は大変か？」です。

考え方と事例をご紹介します。

第三者認証制度に合格して、資格、お墨付きを維持するのですから、それなりの工数がかかることに覚悟が必要です。

でも、実はその更新にかかる負担をかなり軽減することが可能なのです。

当社のISOコンサル実績はこちら

質問です。

最初に読者の皆さんに質問をしたいと思います。

①審査員やコンサルタントからPマークの維持に必要だから、実施してくださいとか、改善してくださいと言われたときに、その必要性を自分なりに理解していますか？

②Pマークの運用を行う部門を、個人情報保護管理者や申請担当者に限定していませんか？
また、全てにPマークの運用だけの資料を作成していませんか？

ちょっと、考えてみてはいかがでしょうか。

必要以上のことをやっていませんか？

①に関しては、失礼ながら、十分に理解できないままに行っている場合が多いのではないかと思います。特にコンサルタントから提供を受けた規程文書や様式を利用している場合には、その傾向が多いようです。

また、現地審査で審査員が神妙な顔をして、「これは不備ですから直してください。」と言うとなんとなくその通りにしなければならない様に思ってしまうのが普通ですよね。

このあたりから、考えて見ましょう。

まず、コンサルタントから提供を受けた規程文書や様式類ですが、皆さんに余計なことをお願いしていると感じています。

・・・・え？　コンサルタント会社のブログにこんなこと書いていいのかって？

多分、当社の社長は太っ腹だから大丈夫。

難しく、重いシステムになる理由とは？

コンサルタントの立場から言えば、難しくしてしまう理由は2点あると思います。

まずすべての事業者さんに使える規程文書や様式を作成しておけば、1回作れば後はそのまま行けますから楽が出来ます。

特に、一番基本になるJISQ15001の内容から規程文書を作成すると、大体似たような内容になりますから、差別化するために、いろいろ味付けをします。

分冊にしてみたり、各項目に例を入れた見たりしています。

しかし、本当に必要なことは、用意した規程文書を事業さんと内容検討し、各事業者さん向けにカスタマイズすることが必要だと思っています。

特に安全管理に関する規程はこの工程が必要です。

クラウドを利用しているのに、サーバルームの管理にページを割いている規程を審査を通じて見ることがありますが、不思議な感じがします。本当に事業者様の業務実態を把握した上で、システム構築をしているのだろうか・・・。

コンサルタントの立場からのもう一点は、審査時の指摘を避ける為です。

皆さんにとっても、コンサルタントに、受ける指摘は数が少ない方がいいですよね。逆に言えば、コンサルした以上は指摘が5件や10件もでたら、恥ずかしいと思わなければいけないと思っています。

ところが、審査を担当する審査員にて指摘する内容が微妙に変わるので、安全な方向に走るとどうしても運用自体から不要な内容もお願いしたくなるのです。

特に、プライバシーマークの審査にコンサルタントなどの部外者の立会は禁止されているので、おかしな指摘に対して専門的に説明して取り下げてもらう機会が得られません。

で、雪だるま的にふえていき・・・　そこまではいかないかもしれませんが、結構重たくなっています。

理由を質問することの大切さ

理解できないときは、納得できるまで何度もしつこく確認しましょう。

審査員やコンサルタントの立場から、お願いした以上は、必ず根拠があると思います。

コンサルタントには質問しやすいと思いますが、一番の難関は、審査員に質問する勇気があるかどうかです。しかし頑張ってください。

何でもイエスと答えてしまうから、審査員が来る度に仕組みが重くなり、仕事が増えてしまうのです。

「ここのところの意味がよくわからないのです。教えてください。」と言えば一応審査員は応じないといけないはずです。

もっと言うと、「その指摘の根拠は何に書いているのですか？」と聞いてもらいたいのです。

書かれている証拠を審査員から見せてもらうことです。

審査員は皆さんに証拠の提示を要求するのですから審査員にも出してもらいましょう。

証拠には、JISQ15001規格や解説、ガイドライン、ウェブサイト等があり得ます。それらを見せてもらい、指摘の根拠を説明してもらい、そして、「皆さんが納得すること」が何よりも大切なのです。

審査機関側としては、少なくとも建前は、事業者さんが理解していない指摘をしてはいけないことになっています。

ちなみに審査員は、審査時間が延びると、事務局から注意をされる場合がありますので、時間が多少伸びても理解したい旨も伝えましょう。

コンサルタントに対しては、皆さんがお願いしているので、遠慮なく完全に理解できるまで確認しましょう。

必要以上のことを行っている例とは

このケースで代表的な内容は取り扱っている個人情報の台帳です。

この台帳にはJISQ15001規格としては、各個人情報に対して、“個人情報の項目，利用目的，保管場所，保管方法，アクセス権を有する者，利用期限，保管期限”があればよいとしています。

JIS Q15001規格の参考部分には

“，要配慮個人情報の存否，取得の形態（本人から直接書面によって取得するか否か），利用目的などの本人への明示又は通知の方法，本人同意の有無，本人への連絡又は接触及び第三者提供（共同利用を含む。）に関する事項，委託に関する事項などを含めることが望ましい。”

と記載していますが、あくまで“望ましい”のであって、事業者さんにとって“あった方が良い”程度であれば、維持工数削減のため記載しなくても良いと思います。

一度、個人情報の台帳の項目に関して、自分たちで本当に必要か考えてみませんか？

難しく考えずに、記載した項目を誰がどのタイミングで、年何回ぐらい参照するかを考えていただくだけで十分です。

似たような内容が、関連する法令等にも言えます。

事業者さんが個人情報保護に関してまとめた法令やガイドラインに、「ソフトウェア管理ガイドライン」、「コンピュータウイルス対策基準」等を含めている例をよく見かけますが、本当に必要でしょうか？

システムに関係ある事業者さんでは、内容は確認することは必要と思いますが、個人情報の取扱いにどれだけ関係しているかどうかは不明です。

切り口を変えて、皆さんは、労働基準法や安全衛生法は特定していますか？

多分特定されていない方が多いと思います。

しかし、これらは従業者情報を取り扱う上で非常に重要な法令と思います。

なぜ、番号法（行政手続きにおける特定の個人を識別するための番号の利用に関する法律）は特定しているのに、これら労働基準法などを特定していないのはなぜでしょうか？

このあたりの理由も一度考えてみる必要はあると思っています。

再度確認、必要以上のことをやって大変になっていませんか？

①の結論として、本当に必要ではないことまで行うことで、無駄な工数をかけていませんか？

②に関しては、Pマークの記録類を作成するときに、Pマークに特化してしまうために、余計な工数をかけていいないかの確認です。

他の事例には何があるか？

例えば、緊急事態の連絡先を考えてみましょう。社内で何か問題があった時に、社員に通知する緊急連絡網を作成している場合が多いと思います。

もっとも最近は一覧表ではなく、個人単位に誰から連絡を受けて、誰に連絡するかを通知している場合も多い多いようですね。その場合はそのもとになる資料と考えてください。

ところで、火事でも、盗難でも、個人情報の漏えいでも、社内で発生した問題という切り口からは、個別に緊急連絡網を作成してもほぼ同じ内容になると思います。

したがって、Pマークの場合に特化した緊急連絡網をわざわざ作成する必要はありません。外部の連絡先は、起きた問題で異なるでしょうが、その部分は場合分けをして記載することで、緊急連絡先は事業所毎に一種類にまとめることができます。

同じようなことが、委託先にも言えます。

個人情報の取扱いがある委託先と、それ以外の委託先と分けて一覧表を作成し、管理している例をよく見かけますが、まず全ての委託先を特定して、その中で個人情報の取扱いの委託先に印をつけることで、一つの表で管理することができます。

普通、委託先はすべて与信や評価を行っている場合が多いですから、個人情報の取扱いがある委託先は、そこに個人情報の取扱いの委託先としての評価を追加するだけと考えればよいのではないでしょうか？

前にもリスク分析表を作成する場合には、リスク分析表にも使えるような業務手順書を作ることを提案いたしました。

個人情報保護のために行う作業は、社内で同等の内容をすでに行っている場合が多いと思います。

特に、定期的に見直しの多い項目はそのような内容が多いと思います。

社内の専門部署に作業をお願いしましょう。

また、一度実施を決めた内容は、関連業務に組み込んでしまえば、それほど工数はかかりません。例えば、採用応募者の面接時や入社時に同意を得ることは採用業務組み込むことで、運用されていきます。

②に対するコメントをまとめると、Pマークの運用として作業を独自に行うことで、余分に工数を使っている場合が多いと感じています。

Pマークの運用で要求されている内容は、普段皆さんが行っている作業の一部に個人情報保護として必要な部分を追加している場合が多いのです。

したがってもともと似た作業を行っている部門のルーチンワークに組み込んでしまうことで、実質工数の増加を抑えることができます。

最後に

以下のプライバシーマークの運用工数を減らすことができるかの概要をまとめてみました。

しかし、皆さんだけの力だけでは、このような状況を作り出すのは難しいと思います。

このような環境を作り出せるのは、Pマークの運用に経営資源などを配分する義務がある代表者のリーダシップと思います。

規程に定めた代表者の役割を思い出してください。

運用工数削減の最初の仕事は、代表者の理解を得ることから開始していくことから始めましょう。

しかし、この理解を得ることに一番工数がかかるかもしれませんね。

ただ、安全基準を保ち、業務効率化を進めることにもなるので、頑張っていただきたいところです。

または、大変だと思ったらコンサルタントにご相談いただいた方がスムーズに更新できると思います。