連載
» 2006年09月20日 00時00分 公開

プライバシーマークの申請と審査Pマーク取得への道(6)(2/3 ページ)

[直江とよみ,NECソフト株式会社]

審査の重点事項

 JIPDECでは、「プライバシーマーク制度設置及び運営要領」の中で、審査に関して以下のようにうたっています。

(審査)

第10条 指定機関は、第8条に規定する事項のほか申請者のコンプライアンス・プログラムのJISへの適合性について審査を行う。2.前項の審査においては、審査基準として次の事項を重視する。

(1)コンプライアンス・プログラム及び 個人情報の適切な保護のためのその他の関係規程等の整備 (2)個人情報の管理者の設置、個人情報保護の責任及び役割の分担の明確化その他個人情報の適切な保護のための組織の整備

(3)個人情報の収集、利用又は提供に従事する役職員に対する年1回以上の教育

(4)個人情報の取扱い及び保護の状況についての年1回以上の監査

(5)個人情報保護に関する情報主体及び消費者からの要求、苦情、相談等窓口の常時設置及びその対外的広報

(6)個人情報の処理に係る情報システムにおける秘密の保持、外部からの侵入又は外部への漏洩の防止その他の安全上の措置

(7)個人情報の提供又は外部への処理の委託における個人情報の保護及び責任の分担に関する契約の締結その他の個人情報保護のための措置

3.指定機関は、審査のため特に必要があるときは、申請者の事業所における実地調査の受入れを求めることができる。


 JISへの適合性について審査を行うわけですが、重視するとされている部分について重大な不適合があると、審査を通るのは難しいということになります。

 プライバシーマークの審査において、指摘事項は必ずあります。指摘事項にも段階があり、即座に是正を必要とするものや、次回の内部監査や更新時までによりよく改善することを推奨するという観点で指摘されるものもあります。従って、指摘事項が1つでもあると審査が通らない、ということではありません。

 しかし重大な不適合があり、否認される場合もあります。このような場合は、再審査という制度があります。再審査については、「プライバシーマーク制度設置及び運営要領」では、以下のように記されています。

(再審査)

第12条 否認決定を受けた申請者は、当該否認決定の日から3か月以内に、その理由となった事項について改善のための措置を講じ再審査の請求をすることができる。

2.指定機関は、前項の請求があったときは、当該請求における改善のための措置について審査し、あらためて当該申請者に対するプライバシーマーク付与認定又は否認決定をする。

3.第1項の請求は、一の申請について1回に限りすることができる。


 否認から3カ月以内に再審査の請求をするということですから、早急に是正を完了する必要があります。再審査請求までの期間が短いことも踏まえ、内部監査での結果を吟味し、現在のマネジメント・システムが申請可能な状況にあるのかを判断し、無理な申請は避けましょう。

文書審査の注意

 文書審査では、規程類などの審査が行われ、JIS Q 15001に対する適合性が審査されます。

 文書審査に関しては、以下のような観点で指摘があります。

  • 必要な文書があるか
  • 必要なことが書かれているか
  • 書かれていることが、JIS Q 15001の要求に適合しているか

 この「書かれているかどうか」は、時として文章の解釈の仕方によって生じる指摘であることもあります。そのため、JIS Q 15001の要求事項のどの部分が、文書のどこに書いてあるかをきちんと説明できることが必要です。その方法の1つとして、「JIS Q 15001の要求事項との対応表」を作っておくことも、審査をスムーズに進める有効な方法です。

 プライバシーマークの審査では、文書審査が通った後、現地審査の日程を決定します。文書審査の段階で、文書に重大な問題があると、文書の改善を指示されます。一般に1カ月くらいの期間の中で、文書を是正し、再提出します。その後、現地審査の日程調整となりますので、申請から認定までの期間はさらに延びることになり、注意が必要です。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。