プライバシーマーク取得　何から始める？

プライバシーマークを取得するためには？

プライバシーマークを取得するためには、個人情報保護の仕組みとして体制やルールを作り、実際に運用し、その結果をチェックしたうえで、外部の審査機関へ申請して審査を受けます。審査で合格となればプライバシーマークマークが付与される仕組みです。

プライバシーマーク取得するためのは、何から始めるのが良いのでしょうか？　
まずは、プライバシーマークを取得するきっかけや目標を再確認して、スタート準備に入ると良いと思います。

①プライバシーマーク取得することになったきっかけは？

　プライバシーマークが入札や契約の条件になったというような、外部（取引先・クライアント）からの要望がプライバシーマーク取得のきっかけであれば、なるべく早く取得した方が良いでしょうから、取得までの期間（目標時期）の設定が重要になるかもしれません。

　また、今後の新しい業務で個人情報の取扱いが増えるなど、従業者の個人情報に対する意識向上や社内の保護体制の見直しを考えてプライバシーマークの仕組みを取り入れるなどというような場合であれば、急がずじっくりと進める方が良いかもしれません。

　このようにプライバシーマークを取得するきっかけはさまざまですので、何のために自社はプライバシーマークを取得するのかをはっきりさせておくと良いと思います。

②コンサル会社の協力を得る

　プライバシーマークの取り組みについては、コンサルティング会社を利用し、資料の提供を受けたり、アドバイスや指導を受けながら進める事が今では一般的になりました。
　コンサル会社を利用せず自力で取得することも出来なくはないですが、取得するための調査や作業による従業者の負担やかかる時間を考えると、コンサル会社を利用してサポートを受け、取得した方が効率も良くコストもその方がかからないことがわかっています。特にコンサルのメリットで多く聞かれるのは、ちょっとのことでも質問できストレスが軽減できる、レビューしてくれるので安心感がある、法令や審査基準に沿った正しい判断が出来るなどのメリットがあります。

　しかし、コンサルティング会社もいろいろあります。それぞれ経験値や、コンサルティングの方針など、さまざまな特色を持っています。最近ではコンサル会社と言えないような作業を代行する会社（100％代行）や文書だけのサポートなどが増えているようです。特に代行会社の利用は注意するよう、審査機関からコメントも出ています。

参考：https://privacymark.jp/news/system/2014/1114.html

　結果的に、作業を代行してくれるところにお願いしても、個人情報に関するノウハウは何も残りませんし、文書のサポートだけでは、本当に自社にあっているのか、他に方法はないのかなどの相談がしづらいので、いわゆるプライバシーマークを取得しただけの会社という形になってしまいます。

　やはり個人情報保護の仕組み作りの指導・アドバイスをしてくれるコンサル会社、つまり、自社の個人情報保護の取り組みへの支援とプライバシーマークの審査がスムーズにパスが出来るような準備についてサポートをしっかりしてくれるパートナを探し利用することが、正しいコンサル会社の利用方法です。

　取得することとなったきっかけや、目標とする期間を、コンサル会社に相談して、価格だけで比較したりするのではなく希望に合った内容で最後までしっかり心強いパートナーとして、サポートをしてくれる会社を選ぶことが重要です。

コンサル会社選びの際に注意すべき点

◆コンサルティング会社自体がプライバシーマークを取得しているか？

◆打ち合わせ時間が長いなど、いっぺんに詰め込む方法を取っていないか？

◆コンサルタントが決めたスケジュールを押し付けていないか？

◆質問に対してすぐ対応してくれるのか？

◆取得後も長く付き合える、相談しやすいコンサルタントか？

◆プライバシーマークの支援がメインの業務か？

上記の点を踏まえ、最初のコンサル選びに失敗しないように注意して下さい。

　また、コンサル会社によっては、最初に決めたスケジュール通りでないと追加料金を取ったり、最後まで面倒を見てくれないなどの問題が発生することがあるようですので、急にお忙しくなったりするようなお客様は、そのような状況もカバーしてくれるコンサル会社を選びましょう。。

　社内のセキュリティ環境整備についても、コンサル会社がセキュリティ設備の会社とつながっていたり、コンサル会社自体が関連商品を販売したいためにプライバシーマークのコンサルをやっているというところもあるので、コンサルティングを受ける中で、余計な物を買わされてしまわないように、コンサル会社のホームページやその関連会社などを確認することも重要です。

③作業するメンバーを決めましょう

　プライバシーマークの取り組みは、短期取得を目指しても６カ月　一般的にはおおよそ１０ヶ月くらいはかかります。

　その作業を行うメンバーの中心となり、コンサルタントと密に対応する窓口となる方がまず必要ですが、多くのお客様は、１～２名が作業を進め、場面によって他のメンバーに協力をお願いするようなかたちを取っていますので、準備段階ではあまり多くの方が関わらないというケースが多いです。
　逆に最初から複数のメンバーで分担して作業を進めるというケースもあります。

メンバーとして、一般的には

・プライバシーマークの取り組みの事務担当者（事務局）

・個人情報保護管理者

・内部監査責任者

・事務取扱担当者（マイナンバー担当）

・情報システム管理者

・個人情報相談窓口担当者　などが必要です。

内部監査責任者以外は兼任することができます。

プライバシーマーク取得まではどのような作業があるか？

1.個人情報保護方針を作成し公表します。
2.責任者や担当者など体制を決めます。
3.自社で取り扱う個人情報は、どのようなものがあるか確認し台帳にまとめます。
4.台帳に登録された個人情報についてリスクを分析し対応策を検討し表にまとめます。
5.個人情報の取扱いルールとなる規定文書と、記録様式を揃えます。
6.従業者へ、策定した自社の個人情報保護ルールを教育します。
7.教育後、各持ち場で運用を開始します。
《主なもの：取得・利用・保管・廃棄の場面でルールどおりに運用、委託先の監督等）
8.運用がルールどおりに行われているかチェック（監査）を実施します。
9.ここまでの状況を代表者に報告し、必要に応じて見直します。

ここまで進んだら申請準備をして審査機関へ申請します。
そのあと、形式審査・文書審査・現地での3つの審査が行われ合否が決定となります。

プライバシーマーク審査ではどんなことがチェックされるのか

◆形式審査：申請書に不備が無いか、チェックが行われます。

◆文書審査：申請書が受理されると提出した文書（内部規程・様式）の中身の細かな部分について文書審査が行われます。
※文書審査と並行して現地審査の日程の相談があります。

◆現地審査：現地審査は審査員が２名来て、現場でのヒアリングや記録の確認などが行われ、プライバシーマークの審査基準に適合しているかをチェックします。具体的には代表者や個人情報保護管理者や監査責任者等に対して、個人情報に関する事故の有無の確認や、リスク認識、業務ごとの個人情報の取扱い方法、個人情報保護方針の周知状況の確認、物理的・技術的安全管理措置など現場の細かな点もチェックされます。

審査全体の中で、審査基準に適合していない不備があれば指摘となり、改善を求められますので、その改善を行なって報告をして、審査員からOKが出れば、審査が終了となり合格となります。