第5回「コンプライアンス・プログラムの運用と内部監査」までで、プライバシーマーク(Pマーク)取得のための手順とやるべきことを解説しました。
今回は、プライバシーマークの「申請」と「審査」について解説していきます。
2006年5月20日に、「JIS Q 15001:2006」が制定されましたが、本連載は、「JIS Q 15001:1999」版を対象にしております。JIS Q 15001:1999でのプライバシーマークの申請は、新JIS Q 15001の制定から6カ月間受け付けています。詳細はJIPDECのホームページにてご確認ください。
http://privacymark.jp/index.html
プライバシーマークの申請
プライバシーマークの審査申請は、財団法人日本情報処理開発協会(JIPDEC)、またはJIPDECが指定した「プライバシーマーク付与認定指定機関」のいずれかに申請し、認定審査を受けます。
指定機関コード | 名 称 | 審査対象事業者 |
---|---|---|
A | 財団法人日本情報処理開発協会 | 以下のB〜Lに該当しない事業者 |
B | 社団法人情報サービス産業協会 | 基本的に各機関の会員企業 |
C | 社団法人日本マーケティング・リサーチ協会 | |
D | 社団法人全国学習塾協会 | |
E | 財団法人医療情報システム開発センター | 保健・医療分野の事業者 |
F | 社団法人全日本冠婚葬祭互助協会 | 基本的に各機関の会員企業 |
G | 社団法人東京グラフィックサービス工業会 | |
H | 社団法人日本情報システム・ユーザー協会 | |
I | 財団法人くまもとテクノ産業財団 | 各機関のカバーする地域に本社を持つ企業 |
J | 社団法人中部産業連盟 | |
K | 財団法人関西情報・産業活性化センター | |
L | 財団法人日本データ通信協会 | 基本的に各機関の会員企業 |
表1 【プライバシーマーク付与認定指定機関】(12機関) |
上記I〜Kは、2006年4月18日付で新たに指定された「地域対応の指定機関」です。
認定指定機関は業種別であり、基本的にそれぞれの機関に会員企業として登録した企業の審査を実施することになっています。B〜Hの認定指定機関の業種に当てはまらない企業や非会員の場合は、JIPDECへ申請し、認定審査を受けることになります。
今回新たに指定された「地域対応の指定機関」により、上記とは異なる視点で申請先を選択できるようになりました。
地域対応の指定機関は、カバーする府県を定めており、企業の本社の所在地によって分けられます。これにより、本社の近くの指定機関で審査を受けられるようになりました。認定審査では、定められた認定費用に加え、審査員が企業を訪問する際の交通費などの費用も負担することになっています。地方の企業にとって、わざわざ東京のJIPDECに審査申請をすることは、費用面でのデメリットがありました。その点においても地域対応の指定機関を利用することはメリットが大きいといえます。
ちなみに、保健・医療分野の事業者に関しては、扱っている個人情報が機微であることや、特殊な業務であることもあり、申請先として「財団法人医療情報システム開発センター」を優先するようになっています。
各指定機関は、それぞれの認定方針、個人情報保護ガイドラインなど、「監査ガイドライン」的な意味で参考にできるような情報を公開しています。JIPDECの全事業者に向けたガイドラインよりも、業界特有の部分について理解しやすいという点で、大いに活用できる情報といえます。
申請書類などはそれぞれのホームページからダウンロード可能です。
申請から審査まで
申請をするに当たっては、コンプライアンス・プログラムを策定し、運用、従業員教育と内部監査と年度計画に盛り込まれたイベントなど一連の流れを経験していることが必要であることを、いままで解説してきました。
内部監査の後には、不適合事項の是正措置が必要となります。是正措置は、是正計画→是正措置という手順を取ります。
マネジメント・システムを監査する場合、指摘事項がないということは、まずあり得ないと考えてよいでしょう。内部監査では、しっかり監査した結果として、指摘事項や観察事項を記録として残すことに意味があります。審査の際にも、内部監査の結果は重要な情報として扱われます。監査によって指摘事項を見つけ、さらによい方向に是正していくのだ、ということが望ましい姿勢です。
従って、プライバシーマークの審査においても、是正すべき事項が残った状態であるからといって、認定に対しての決定的な障壁になるわけではありません。重要なことは、指摘事項を是正していく計画をきちんと立て、その計画どおりに実行するということなのです。よって、申請に関しては、是正計画を立てたタイミングでも申請可能と考えることができます。
しかし、重大な不適合を残したまま申請をしても審査の合格は望めません。内部監査の結果によっては、申請時期を見合わせる判断も必要です。
申請をしてからは、文書審査→現地審査→認定という流れになります。申請から審査までの時間は、申請した認定指定機関によっても異なりますが、おおよそ3?5カ月くらいのようです。
Copyright © ITmedia, Inc. All Rights Reserved.