ロコガイド テックブログ

「地域のくらしを、かしこく、たのしく」する、株式会社ロコガイドの社員がいろいろな記事を書いています。

「地域のくらしを、かしこく、たのしく」する、株式会社ロコガイドの社員がいろいろな記事を書いています。

自力でPマーク認定を受けた話

情シス 個人情報保護 Pマーク

f:id:hryk-suzuki:20201130165055p:plain

この記事はロコガイド Advent Calendar 2020の19日目です。

こんにちは。ITシステム部の鈴木です。 ロコガイドでは個人情報保護事務局も担当しています。

今回はPマーク認定にチャレンジしたお話をしたいと思います。前職でも10年くらい前にPマーク認定を受けて運用していたのですが、初回認定時にはコンサルタントに丸投げしていました。今回はコンサルタントの力を借りずに自力で認定までされたので、やったことや苦労した点などをお話しします。

Pマークとは?

プライバシーマークの略です。 JIPDEC(一般財団法人日本情報経済社会推進協会)が運営する制度で、適切な個人情報保護の仕組みを構築し、運用している事業者を認めるものです。 日本工業規格「JIS Q 15001:2017 個人情報保護マネジメントシステム-要求事項」に準拠することで認定されます。

何故Pマークを取るの?

当社では以下の理由から審査を受けることとしました。

  • 保有個人データの保護レベル向上
  • エンドユーザー、取引先からの信頼維持

Pマーク認定までの時系列

2020年6月末 Pマーク審査を受けることが決定
7月  規程、マニュアル、記録類フォーマット作成
8月  社内向け研修、部署ごとの運用点検、内部監査実施
9月初 申請書作成、提出、現地審査日確定(10月初旬)
9月末 文書審査チェックリスト受領
10月初 現地審査
1週間後 指摘事項受領
11月中 指摘事項改善対応報告
11月末 JIPDEC審査会
12月初 審査会結果連絡、マーク契約手続き
12月末 Pマーク正式付与

まずは

ひとまず、ざっくりのスケジュールを立てました。 f:id:hryk-suzuki:20201130165135j:plain これは死ぬ気でやった場合のかなり無茶なスケジュールになってしまったので、修正してマネジメントレビューがMonth2の最後になるようにしました。 文書審査から現地審査までの期間は審査機関や時期によって大きく変わってしまいます。 最初は現地審査まで2ヶ月を見ていましたが、たまたま審査機関のスケジュールが空いていたため、1ヶ月で済みました。

申請をするまでに

JIPDECの案内にもありますが、申請までに社内規定や体制を整え、一通りの運用を実行しておく必要があります。おおまかには以下のことを行う流れになります。

  1. 運営体制の構築、規程類を作成
  2. 法令の特定、保有個人データの特定、リスク分析、委託先の特定
  3. 従業員に対して研修を実施
  4. 内部監査を行って代表者に報告
  5. 代表者による見直しと是正を実施
  6. 3~4の記録は申請時に提出する必要があります。

私は最初の1ヶ月で上記の1~2を実施し、次の1ヶ月で3~5までを実施しました。

社内文書類の整備

1ヶ月でと簡単に書きましたが、作るものややることは凄い量です。 当社でも規定やマニュアルが無かったわけではないのですが、JISの要求事項に沿ったものが必要となると、ほぼ0から作ることになってしまいました。。 私が整備し直したものは以下になります。

  • 個人情報管理基準(規程の下に位置するルール)
  • 個人情報管理マニュアル(管理基準を元にした詳細マニュアル)
  • 個人情報管理台帳(リスク分析も)
  • 法令一覧
  • 社内体制図
  • 緊急連絡先一覧
  • 授受記録簿
  • 委託先一覧表
  • 委託先評価アンケート
  • 委託先評価基準
  • 開示対応履歴
  • 研修計画書/報告書
  • 運用チェックシート
  • 内部監査計画書/報告書/チェックシート
  • マネジメントレビュー記録

体制図や記録簿などはサッと作れると思いますが、個人情報管理台帳を作るためには、社内の個人情報を全て洗い出してリスク分析をする必要があります。 個人情報取扱い業務の委託先の洗い出しや調査も時間と労力がかかります。 そもそも基本となる規程やマニュアルなんてどうやって作れば良いのか分かりませんよね?

規程類の作り方

実は基本規程やその配下の文書は、JIS Q15001 要求事項の電子データを購入して、附属書Aの内容をそのまま使えばできあがります。 https://webdesk.jsa.or.jp/books/W11M0090?bunsyo_id=JIS+Q+15001%3A2017

マニュアルは上記規程を守るための社内ルールを細かく書いてあげれば問題ありません。 リスク分析の結果が漏れなく入っている必要もあります。

個人情報管理台帳と委託先一覧表

この2つは他部門を巻き込まなければできません。
全社に協力を仰いで一気に情報を集めました。
確認したり委託先に質問をしたりしなければならないので早い段階で始めました。

研修~内部監査

これも1ヶ月ではかなり厳しい作業ですが、なんとか終わりました。 規程やマニュアルが完成したら、それらを含めて個人情報保護の知識を全従業員にインプットします。 研修資料はGoogleスライドで作成し、理解度調査をGoogleフォームで行いました。 Googleフォームであれば誰が受けてないかを簡単に把握できるのでおすすめです。

研修が終わったら各部門で運用の点検を実施してもらいました。

内部監査はJIS要求事項の附属書Aに基づいて実施しました。
※失敗ポイントがありましたが、まとめて後述します。

内部監査の結果は代表取締役に報告し、そのままマネジメントレビューを行ってもらいました。

申請書類

申請書に必要な書類は以下にまとまっています。 https://privacymark.jp/p-application/new/document.html

申請書の他にも社内の文書や登記簿謄本などが必要になります。
申請書だけでもなかなか大変です。
個人情報の一覧は台帳とは別に記載しなければなりませんし、個人情報を取得するURLも記載しなければなりません。

申請

当社ではPマーク審査を受けることが決まった時点で、審査機関を決めました。
申請にあたって不明点の質問等もできるので、早めに連絡しておいた方が良いと思います。

前職での審査機関では申請書類を全て印刷して提出していましたが、当社が申し込んだ審査機関では電子データで良かったのでかなり楽でした。
当社では文書や記録を全てGoogleドキュメント/スプレッドシートで作成しているので、ワードやエクセルに変換して提出しました。
紙だったころは厚さ2~3cmくらいにはなって、印刷物を全ページ目検してインデックスを貼ってキングファイルに綴るという作業で半日は費やしていたので、だいぶ楽です。

文書審査

申請をすると提出した文書の審査が行われ、通常は2ヶ月後くらいに現地審査が行われます。
私たちは運が良く、現地審査は1ヶ月後に行われました。
代表取締役へのインタビューが冒頭の30分で行われるので、そのスケジュールも日程が決まったタイミングで抑えておきました。

また、申請の3営業日後には申請料と審査料の請求書が届きました。
審査料は会社の規模によって変わりますが、その最終判断は審査機関によります。

文書審査の結果は現地審査の10日ほど前に届きました。
すぐに指摘箇所の修正を行いましたが、その確認は現地審査で行われます。

現地審査

審査体制

現地審査を全てリモートで行う審査機関もあるようですが、当社は審査員の方に来社いただきました。
審査員の方は2名です。
当社は個人情報保護管理者と私、もう一人の個人情報保護事務局の合計3名でした。
会社の会議室に上記5名が入室し、代表取締役は在宅という状況でした。
代表取締役へのインタビュー時はZoomミーティングで受けてもらいました。

質問されること

代表インタビューの内容や審査内容は審査機関のホームページに記載されているので事前確認必須です。
以下にインタビューの概要が記載されたページを挙げます。
https://privacymark.jp/p-application/new/on_site_review.html https://www.juas.or.jp/privacymark/application/review/ https://www.dekyo.or.jp/pmark/contents/sinsei/2.html 聞かれることが分かっていれば怖くないです。
いや、怖かったですけどね。

雰囲気

審査は10:00~17:30という予定で丸一日かかりますので、体調を整えて臨みましょう。
審査といっても、審査員の方は認定を受けるために必要なところを教えてくれるためにチェックしてくれるので、半沢直樹の黒崎みたいにガンガン責めてくることはありません。
ここはこうした方がいいですね。こういうやり方なんていかがですか?と優しく教えてくれます。

指摘

現地審査の1週間後には正式に指摘事項の文書がメールで届きました。
コンサルタントを入れていなかったのでたくさん指摘されるのは覚悟していました。
対応が大変なものや失敗したなぁと反省した点を挙げますので、お役立ていただければと思います。

文書類

前職でも個人情報保護事務局を担当していたので、そのときの経験を頼りにあまり最新のJIS要求事項を確認せずに規程類を作ってしまいました。
3年毎に見直される個人情報保護法の改訂によってJIS要求事項も改訂されていきますので、要求事項を一つずつ確認しながら作成していくのがベストだと感じました。

個人情報取得時の同意取得

「プライバシーポリシーに同意」というのを良く耳にしますが、これではダメです。
プライバシーポリシーは方針であって同意してもらうための文書ではないからです。
当社はプライバシーポリシーに同意事項を入れ込んだものを同意文として使おうと考えていました。
しかし、それではJISの要求する「明示的な同意」にならないとのことで、個人情報取得シーンごとに同意文書を作る必要がありました。
これが大変です。
文書を作成し、社内で承認手続きを通し、技術部門にサイト改修をしてもらう必要があるからです。
技術部門の皆様ありがとうございました!

内部監査

内部監査では以下の2点について監査しました。

  • 規程類がJIS要求事項に合致しているか
  • 各部門の自己点検の結果が問題なかったか
    これではダメでした。
    2つ目の「各部門の自己点検の結果が問題なかったか」がJIS要求事項全てを抑えていれば良かったのですが、自己点検なのでそこまではやっていませんでした。
    JIS要求事項に沿った運用がなされていることを監査で確認する必要があるため、チェックシートを別途作成し、再度内部監査を実施しました。
    f:id:hryk-suzuki:20201130165220j:plain

最後に

Pマークの審査においてはJIS Q15001が絶対です! それほど高いものでもないので、審査を受ける方は買いましょう。 https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=JIS%20Q%2015001:2017 そして良く読み込んでください。

規程類の作成でつまずいてしまうのであればコンサルタントに頼るのも有りだと思います。 ただ、実際に運用していくのは社内のメンバーなので、頼りっきりにならないように気をつけましょう。規定類の作成を丸投げしてしまうと、根拠となる法令等を理解しないままになってしまったり、法改正に自分たちで対応できなくなってしまいます。特にJIS規格の改訂は審査に大きく影響するところなので、常に最新版を理解しておかなければなりません。自力運用を前提として、こういう知識とかも事務局にインプットしてくれるコンサルタントがいれば良いのですけど、審査さえ通れば良いというところが多いのが実情です。 コンサルタントを使うかどうかに関わらず、勉強は必要ということですね。

これからPマーク認定を受けようとされている方は是非チャレンジしてみてください! 何事も為せば成る!