Pマーク取得のステップ

1.キックオフ宣言をしよう!

プライバシーマークを取得するには、社内で個人情報を取り扱うルールを定め、そのルールに則って作業を進めることが必要です。そのためには、一部の優秀な社員に任せるだけでは不十分で、全社員が個人情報の重要性を認識した上で業務に取り組まなければなりません。当然、これまでの業務の進め方を変えていかなければなりませんし、就業規則等の変更も必要になってくるでしょう。プライバシーマーク取得は、全社が目的を一にして、全社体制で取り組んでいかなければならないのです。
プライバシーマーク取得という目標を定め、それに向け、全社で取り組むことを宣言するのは当然、社長の役割です。「我が社はプライバシーマークを取得するぞ!」と全社員に向けて発信する『キックオフ宣言』で、プライバシーマークプロジェクトが始動するのです。

2.個人情報保護方針を定めよう!

自社が、どのような考えのもとに個人情報保護を行っているかという基本的な姿勢を述べたものが個人情報保護方針です。企業としての考えを代表して表明するのですから、当然、社長が作成します。
また、個人情報保護方針を作成したら、これを文書化し、ホームページや配付用リーフレット等に掲載して、一般の人が入手できるようにしておくことも必要です。

3.プロジェクトチームを発足させよう!

社内の個人情報保護体制を確立し、プライバシーマーク取得に導くために、プロジェクトチームを組織します。具体的には次のメンバーを任命します。

(1)個人情報管理責任者
個人情報保護推進の創責任者。対外的に責任を果たせる役割として、社長から個人情報保護に関する全権を委譲されます。
(2)顧客対応責任者
お客様からの問い合わせや苦情を引き受ける窓口の責任者です。
(3)情報システム管理責任者
社内の情報システム上の個人情報管理やシステム面でのセキュリティなどの対策に関する責任者です。
(4)教育責任者
社員全員が個人情報に関する知識を持ち、社内ルールを遂行していくためには、教育が不可欠です。教育の計画を立て、全社員がもれなく教育を受けられるよう管理していくことが責務です。
(5)監査責任者
社内の個人情報保護体制が適切かつ有効に運営されているかを定期的に監査する監査チームを指揮します。

4.現状を分析しよう!

オーダーメイドで服をあつらえるためには、まず自分の体型を知る必要があります。次に、気候や地域などの外部環境、店の選定、予算などの事情をすべて踏まえた上で、どのような服をあつらえるのかの計画ができあがるのです。
社内の個人情報保護体制構築もまた、まずは自社がどのような現状にあるのかを知らなければなりません。社内には、どんな個人情報が「どこに」「どれくらい」あるのかなどを綿密に調査する必要があります。その他、事務所のセキュリティ状況や、取引先の状況なども合わせて調査し、プライバシーマーク取得のために、やらなければならないことを明確にしましょう。

5.ルールを作ろう!

プライバシーマーク取得のためには、社内で個人情報を取扱うルールを定め、それに基づいた運用をしていくことが必要です。ここでいうルールは、各社で勝手に定めてもいいものではなく、日本工業規格JIS Q 15001「個人情報保護マネジメントシステム-要求事項」に適合していなければなりません。この要求事項を満たしていなければ審査には通らないので、ルールの作成は、JIS Q 15001 に沿った形で進めていくことが効果的でしょう。

6.ルールを実践しよう!

JIS Q 15001の要求に沿って作成したルールは、実際の業務に落とし込んで運用していかなければ、「絵に描いた餅」に終わってしまいます。社内の全部門・全社員に、ルールに沿って業務を行うことを教育しますが、その体制が定着するためには、各部門の責任者が管理していく必要があります。
注意しなければならないのは、ルールに記載されていることは、絶対に実行しなければならないということです。ルール自体の問題で実行不可能な場合は別として、社員の怠慢やルールの不知などによって運用がストップすることのないよう、各部門の責任者は(特に初期は)ルールの周知が徹底・実践されるよう、綿密に管理してください。

7.監査しよう!

ルールに従って一定期間運用していくと、主観的には特に問題には気づかなくても、客観的な立場で見たときには、ルールに沿っていない部分が散見される可能性があります。こうした“穴”を放置しておくと、だんだん広がっていき、しまいには個人情報保護体制に致命的な欠陥を生じさせるかもしれません。それを防ぐためにも、運用状況を定期的に監査し、“穴”を発見することがマネジメントシステムには不可欠です。
限られた時間の中で(通常業務をできるだけストップさせない)より多くの穴を発見するには、かなりの熟練が必要です。監査になれないうちは、“穴”を発見するのも一苦労なのではないでしょうか。しかし不慣れだからといって、問題が発見できなければ、監査をやる意味がありません。初めのうちは特に準備を入念にし、各部門ごと、どんな点をチェックするのかを詳述したチェックシートを作っておくのがよいでしょう。
監査によって発見された“穴”(不適合)は、定めたルールに従って是正処置を施しましょう。

8.申請しよう

1~7までの作業が終了したら、いよいよ申請です。
JIPDECのホームページから申請書類一式をダウンロードしたら、すべての書類に記入。登記簿謄本や定款(コピー)など必要な文書類も揃えます。当然、[5]で作った規程類も忘れずに(審査されるのはコレですよ)! 注意すべきなのは、「教育記録」と「監査記録」です。教育については全従業者、監査については全事業部門に対して実施し、その記録を添付しておかなければなりません。「あそこは個人情報を取り扱わない部署だから」なんて言い訳は通用しません。かならず全従業者・全事業部門への教育・監査をした上で申請しましょう。
(申請書類は時々変更されますので、申請する段階でホームページを確認しましょう)

9.審査を受けよう

(1)書類審査

審査員が、送付された規程類を審査します。この時点で、プライバシーマーク「付与の対象」としての条件を満たしていない項目(×=不適合)についてはチェックが入り、現地審査までに是正しておくように指示を受けます。また、不適合とはいえないまでも、不明確な部分(△)については「現地で確認」の指示が来ます。
×と△の項目を放置していてはプライバシーマークの取得はできません。審査結果を受け取ったらすぐに是正に着手しましょう。

(2)現地審査

実際にJIPDECの審査員を迎え、自社での運用状況を審査してもらいます(緊張のMAXです)。書類審査で指摘された不適合が是正されているのはもちろんのこと、「現地で確認」の事項も細かくチェックされます。注意すべきは、最初に行われる「社長インタビュー」。ほとんどの実務を個人情報保護管理者がこなしていたとしても、個人情報保護方針の策定や、マネジメントシステムの見直しは社長の仕事として要求されています。たとえ管理者といえども代わりはできない。そのあたりの項目を、プライバシーマークを取得しようとしたきっかけなどに絡めて社長にインタビューすることから審査は始まります。ここで「いいかげんな会社」のイメージを与えてしまうと、その後の現場でのチェックがより厳しくなってしまいますので、社長の受け答えにかかる責任は重大です(プレッシャー!)。事前にロープレなどで標準的な問答は練習しておきましょう。

10.不適合を是正しよう

現地審査のあと4~5日で、「審査結果」が文書で郵送されてきます。ここで『合格!』の企業はありません。平均して10個前後の不適合を指摘されます。猶予は3か月。それまでに指摘された項目を是正し、是正したことがわかるような証拠を付けてJIPDECに再送付。(この作業が何度か繰り返されることもあります)
是正項目がなくなれば、指摘の代わりに「付与認定の通知」を受取り、めでたくプライバシーマーク取得ということです(おめでとうございます!)

11.JIPDECと契約をしよう

これでプライバシーマークを使用できる……わけではありません。プライバシーマーク制度は「プライバシーマークの使用を許諾する制度」ですので、使用に際してはJIPDECと『プライバシーマーク使用契約』を締結することが必要です。この契約の締結とともに、2年間のマーク使用料を納入して、

ついに、プライバシーマーク取得! です。

…おつかれさまでした。

※審査機関をすべてJIPDECとした上で記述しています。その他の指定機関にて審査を受ける場合には読み替えてください。