プライバシーマーク　現地審査のポイント5つ

こんにちは！総務のゆうこです。
先日子供が1歳の誕生日を迎えました。日々上達する「いないいなぁい…ばぁ！」と嘘泣きに、心を奪われています。

さて。ランチェスターは2013年にプライバシーマーク（以下Pマーク）を取得しています。
2年毎に更新の必要があり、書類審査と現地審査を受け、個人情報保護のためのルールが運用できているかチェックされます。
先日、3度目の現地審査を受け、大事！と思ったポイントを（2年後の自分のためにも）まとめておきたいと思います

１．必要資料は都度作成＆整理を心がける

すでにPマークを取得されている担当者の方はご存知かと思いますが、Pマークの運用にはかなりの資料が必要になります。個人情報管理表、リスク分析、入退室管理表、誓約書…等々。
これらを、審査直前に整えようとすると、かなりの作業量に。

入退社や月末、年1回の監査時などに、面倒がらずに都度書類を作成し、内容別・作成日順等でファイリングするなど「きちんと作成し、整理／管理できている」状態を日頃からつくっておくと、更新審査までがとても楽になります。

全てに共通していえることですが、Pマークは、それを維持することではなく、個人情報の漏洩事故等を防ぐことが最も大切。面倒な作業はつい後回しにしがちですが、日々コツコツと積み重ねること、習慣化することが何より大切だなと実感しました。

２．直前にすべての資料に目を通しておく

現地審査では2名の審査員が来社し、膨大な資料を約6時間かけて、ほぼ漏れなくチェックしていきます。
内容をすべて記憶することは難しいですが、せめて「何がどこにあるのか」を把握しておくことで、審査がスムーズに進みます。

３．「詳しい人」をもれなくアサインしておく

私の場合、自社で管理している個人情報のうち、社員に関する情報は私が直接扱うことが多いので、その流れについて把握できているのですが、案件内のことやシステムのこととなると詳細までは把握できていません。
「どんな通信手段でやりとりしているのですか？」「どのようにセキュリティを担保しているのですか？」など、質問の範囲は限られているものの、とても具体的で細かなことまで確認されます。
現場のプロジェクトマネージャーや、社内システムの管理担当者など、実際にそれらを扱っている詳しい人をアサインしておき、直接答えてもらうのがおすすめです

４．社内の整理整頓に協力してもらう

たとえ個人情報の放置がないのだとしても、現地審査でフロア内のチェックを受ける際、散らかりっぱなしのデスクでは困ります。
改めてクリーンデスクや資料整理に取り組んでもらえるよう、現地審査の1週間ほど前には社内に知らせて、協力を仰ぎましょう。

５．正直に答える

４まではすべて事前準備に関することでしたが、ここまできたらあとは正直に対応するのみ。
約６時間、完全無欠な回答を続けようとしすぎず、理解している範囲で正直に答えます。
ランチェスターでは審査を一般社団法人日本情報システム・ユーザー協会（JUAS）さんにお願いしていますが、審査の冒頭でも「正しく運用できているかの確認と、できていない箇所があればその改善のお手伝いをすることが目的です」とお話しくださいます。
実際、3度の現地審査で毎回何らかの指摘事項はありますが、合わせて改善案もご提示いただき、それに沿って対応することで問題なく取得・更新ができています。
不安になりすぎることなく、お力をお借りする、くらいの気持ちで臨みましょう。

ちなみに、Pマークのコンサルティング会社に協力を仰ぐのもひとつの方法。
ランチェスターではワークストラストさんに新規取得のときからサポートをお願いしています。
個社に合った個人情報保護マネジメントシステム（PMS）の作成や、管理に必要なテンプレートの提供など、社内のシステム構築から取得までをサポートしてくださいます。
特に新規取得の際には、一度ご相談されることをおすすめします。

2度目の更新作業もあと一息！無事更新のお知らせができるよう、がんばります！