マネジメントシステムの利用
マネジメントシステムとは、組織が目的を持った活動において、責任や権限、役割などを定め、仕組みを体系的に構築したものです。
「計画を立て実行し、見直しを行い改善する」。この繰り返しにより、活動の形骸化を防ぎ継続的な活動とするのです。プライバシーマーク、ISMSもこのマネジメントシステムに当たります。個人情報の保護活動は、法順守という意味でも継続的でなければ意味がありません。仕組みづくりを行ったら、見直し、改善というサイクルが必要なのです。
プライバシーマークは2年ごとに更新しなくてはならないシステムであり、また内部監査を行うことが要件の1つにもなっています。このような点でも、個人情報保護活動においてプライバシーマーク取得のための活動は意味のあるものといえます。
プライバシーマーク取得までの流れ
プライバシーマークを取得するためには、まず計画からスタートします。プライバシーマークは事業者単位の取得が原則ですから全社活動となります。代表者をトップとして活動する必要があります。なお、プライバシーマーク付与の対象は、国内に活動拠点を持つ事業者となります。
事業者単位でプライバシーマークを付与する理由は、プライバシーマーク制度の目的が「我が国においても、個人情報の取扱いを適切に行う事業者を拡大すること(JIPDECのWebサイトより)」だったからです。運用開始当初は制度普及のために大規模な事業者に対して一定の条件を課したうえで事業部門単位での認定を認めていましたが、個人情報保護法の全面施行後は国内のほとんどの事業者が法人として義務を負うようになったこともあり、特例措置を終了しました。
計画からプライバシーマーク申請まで約6カ月かかります。その後、申請をしてから審査を経て認定をもらうまでの期間は、審査機関の都合により変動します。特に、個人情報保護法が施行されてからは、申請する企業が大幅に増えたため認定までに時間がかかるようになったといわれています。
次回からいよいよプライバシーマーク取得までをステップ・バイ・ステップで解説します。まずは、プライバシーマーク取得に向けた「計画」と「現状把握」からです。
筆者紹介
NECソフト株式会社
営業本部 コンサルティンググループ
ISMS審査員補/認定プライバシーコンサルタント(CPC)
直江 とよみ(なおえ とよみ)
個人情報保護対応のコンサルティング業務を中心に担当。 NECソフトでは、ISMSやプライバシーマークなどの取得支援サービスを提供しています。
Copyright © ITmedia, Inc. All Rights Reserved.