下の内容は 2017年の審査基準変更の際の記事です。
プライバシーマーク 新審査基準(2017年版)とは
プライバシーマークの基準となっているJIS Q 15001が2006年版から2017年版に改正されたことにより、それに伴ってプライバシーマーク審査基準についても改正されました。
今後プライバシーマークを新規取得するために申請する場合はもちろんのこと、すでに取得している事業者も新審査基準に合わせ対応が必要になりました。
その対応については、2018年8月1日~2020年7月31日までに対応が求められてます。
審査基準の変更点としては、個人情報保護法の改正及びJISの改正を反映した点が挙げられます。例えば用語の名称も変わっています。個人情報の管理台帳も項目が新しく追加されたため、見直しが必要となっています。
プライバシーマークを取得済の付与事業者としては、新しい審査基準への対応のため、文書(規定・様式)の改定や作り直しをする必要が出てきます。
ご相談は専門のコンサル会社へ
新審査基準対応のための作業は、どのように変わったのか、現在のものからどのような修正や変更が必要かなどを調べなければなりませんので、自力で作業するのはかなりの労力が必要になりますから、コンサル会社のサービスを利用することが一般的ではあります。
ただし、そのようなサービスを提供するコンサル会社選びには注意が必要です。
以前2006年にも同じようにJISの改定があったのですが、「前より複雑になってしまった」、「文書の量が増えた」、「身の丈に合わないスケールの大きいシステムになってしまった」、「説明もなく、聞いてもわかりやすく説明してくれなかった」、「そのあとの審査で多く指摘を受けた」などの失敗例がたくさんありました。
このようなことがまた起きる可能性があります。その原因としては、通常はプライバシーマークのコンサル業務を専門としていない業者が一時的に参入して、浅い経験値で指導したり、文書だけ販売してほったらかしにしたり、極端に安価な価格でサポートを提案したりした結果です。
新審査基準対応は必須の作業ではありますが、ただ文書を修正したり差し替えればいいということではなく、そのあとも理解し、運用できるようになっていなければいけませんから、業者にお願いするときの選定はとても重要だということです。
その、わかりやすいポイントとしては、プライバシーマーク専門のコンサル会社であること、プライバシーマークに関連するサービス(コンサルやセミナー開催)など多くのメニューを持っていること、そのコンサル会社自体もプライバシーマークを持っていること、などがあげられます。ぜひ、そのあたり考慮してコンサル会社を利用してください。
できれば、専門のコンサル会社が提案する、文書全体の見直しや運用の見直しサービスなども併せて進めていくとよいと思います。