合格するために必要なポイントは、大きく分けると
1:JISQ15001及び個人情報保護法の理解
2:規程など文書の作成
3:個人情報の洗い出しとリスク分析
4:安全管理体制の整備
5:運用記録の準備
が挙げられます。

 

1. JISQ15001及び個人情報保護法の理解

規格と法律の理解についてのポイントは2つ。
・何が求められているかを理解すること
・具体的にどう対応すべきか方針を決めること
規格と法律の理解については、一般の書籍や解説セミナーなども役には立ちますが、対応方針を決めるためには、
審査の事情を知らなければならないので、解説セミナーでも役に立たないものが殆どです。
規格は 「what(何をせよ)は書いてあるが、 how(どうせよ) は書いてない」 と言われるように、
読んでも 「書いてある内容はわかるが、具体的にどうしたらいいのかわからない」 のが実情です。
この点になると、書籍やセミナーでは合格できるレベルでつっこんで説明しているものはありません。
具体的な対応とは、次のポイントである
・規程など文書の作成
・個人情報の洗い出しとリスク分析
・安全管理体制の整備
・運用記録の準備
になります。

 

2. 規程など文書の作成

作成すべき規程や文書はある程度は決まってきているので、一般に販売されている規定集やCD-ROMでもある程度対応が可能です。
弊社のコンサルでも雛形を渡して、JISQ15001の規格との関連を説明した上で、自社向けに修正して頂いています。
プライバシーマーク取得に関するサービスは数多くありますが、
安価な「取得セット」、「取得セミナー」、「取得コンサル」は、
1:JISQ15100と個人情報保護法の解説
2:規定集を渡して解説
の2つで終わっているのが殆どです。
だから安価でやれると言っても過言ではありません。
重要なのは、残りのポイントです。これこそは、審査で一番重視される事であり、企業個別の事情を考慮して対処しなくてはならないことで、
規定集やCD-ROMを購入したり、セミナーに参加するだけでは絶対、対処できないことです。

 

3. 個人情報の洗い出しとリスク分析

この作業が一番時間がかかります。
個人情報は取得してから、会社内の各部署でいろいろな形に姿を変えて点在しています。それらを漏れなく洗い出し、
「個人情報管理台帳」(弊社コンサルの例)にまとめます。規程などの文書で説明するより、保管場所、保管責任者、
保管期間、廃棄方法、廃棄記録、廃棄担当者などを一覧で見られるように台帳に整理し、それを見ることで日々の
個人情報の管理の仕方がわかるようにするのが実践的です。
次に、洗い出された個人情報について起こりうるリスクを抽出し、その対策を検討します。
ここでも、リスクの洗い出しが粗かったり、対策が具体的でなかったり、審査の際に指摘がされる例は少なくありません。
個人情報の洗い出しとリスク分析は、最も重要なポイントで、審査の際に、漏れている事がわかると、
かなり面倒なことになりますので、注意が必要です。


4. 安全管理体制の整備

建物・部屋への入退出や、コンピュータ関係の安全管理対策を講じます。
審査で必ず確認されるポイントは、
・建物、部屋の施錠管理、入出記録
・パソコンの物理的対策(盗難、災害、第三者からの隔離など)
・サーバーの保護、サーバー室の施錠
・データのアクセスログ
などですが、対処すべきポイントは多くはありませんので、過剰な投資は不要です。
企業の身の丈にあった対策を講じることです。

 

5. 運用記録の準備

準備した仕組み(マネジメントシステム)を実際に運用した証拠としての記録が必要です。
審査上、
・全従業員の教育実施記録
・全部署の監査記録
・社長の見直しの記録
は必須です。申請書と一緒に提出することが求められています。