プライバシーマーク付与認定を受けた感想
プライバシーマークを取得したいと考えている会社は、最短でも取得に半年以上かかります。
実際に取得するために努力してみるとわかるのですが、相当の量の指標も必要であり、プロジェクトチームを発足する必要もあります。
一口にPマークが会社のための業務の拡大やお客様企業、お客様向けの信用度を高めるためのものだと考えていたら、大きな間違いです。
実際は社員教育や考え方を徹底させる必要もあり、コンプライアンス・プログラムを作り、社内に浸透させていかねばなりません。
Pマークは外にも中にも徹底した手順で行われて、やっと手に入るものです。
また一旦取得したPマークはその時だけでなく、長く維持していく必要があります。維持することは個人情報を扱う上で、社会的責任でもあり、企業としての命題でもあります。
自分の会社でプライバシーマークを取得するときに一番困ったのはこのコンプライアンスプログラムでした。
Pマーク取得の流れとは、
(1)Pマークの基本的な情報、取得までの流れを確認する
(2)業務フローの洗い出し・個人情報の使われ方
(3)取得に向けた計画・プロジェクトチームの教育・各部門ヒアリング
(4)リスクの把握と対策
(5)コンプライアンスプログラム作成
(6)コンプライアンスプログラム運用と内部監査
(7)プライバシーマーク申請と審査
といった順番です。
特に注意したいのは(7)の申請と審査です。
実際にコンプライアンスプログラムが運用されているか、従業員教育や内部監査と年度計画が入ったイベントなどが経験されているかどうかを確認します。
つまりPDCAサイクルを一度実行してから申請する必要があります。
もちろん審査では是正する内容が残っていても取得の決定的な障壁になるとは限りませんが、是正項目があれば、計画を立てて是正すれば問題ありません。
ただし重大な不適合はこれに含まれないので注意が必要です。
そして申請後は、文書審査・現地審査が入り、そのあと付与認定という流れになります。
申請した認定指定期間にもよりますが、だいたい3~5か月程度で付与認定されます。
会社の規模が大きいと取得の最短半年は難しいでしょうが、中小企業なら申請まで半年、申請して認定を受けるまで3か月なので1年以内に取得することが可能です。
自分の会社で取得した時は、正直これから維持するほうが大変だと認識しました。
なぜなら取得まで行った作業工程を見ると、いかに個人情報保護のセキュリティを維持していくかは、企業の永遠のテーマだからです。
付与認定はうれしい反面、企業として守らねばならない責任を感じました。