①JIS規格を理解する

日本工業規格「JIS Q 15001個人情報保護マネジメントシステム」には、
プライバシーマークを取得する為に企業がなすべきこと(要求事項と言います)が書いてあります。
例えば、
・個人情報保護に関する企業の方針を作成して公表すること
・個人情報保護に関する社員教育を定期的に実施すること
・個人情報保護に関して企業が決めたルールどおり仕事をしていることを定期的に監査すること
など、つまり法律の様なものです。
従って、プライバシーマークを取得しようとする企業は、まず、
JIS規格のよく理解して、何をしなければならないか(要求事項)を知ること
から始めなければなりません。

②JIS規格に従って具体的な社内の体制を作る

 JIS規格で何をすべきかがわかったら、具体的にどうするか(手段)を検討します。
つまりJIS規格には「○○をしなければならない」と決めてはいますが、
その為に「○○する」という手段については何も書いてありません。
手段は企業が決めなければならないし、企業の実情によって変わります。
言い換えれば、「企業によって変わるのが当たり前」だということです。
具体的には、JIS規格の全ての項目毎に自社ではどうするかを検討します。
検討した結果は、原則マニュアルに記載しますが、マニュアルの作成に時間がかかります。
そこで、コンサルタントの登場です。
コンサルタントは過去の経験から、「審査に合格できるレベルのマニュアル」を持っているはずで、
それを各企業に合わせてカスタマイズします。
従って、
・「審査に合格できるレベルのマニュアル」を持っていること
・各企業の実情に合わせてマニュアルのカスタマイズを適切に指導できこと
がコンサルタントの力量として重要になります。

 

 ③マニュアルに従った運用

審査を受けるには、
・マニュアルに従ってきちっと運用し
・その証拠(記録)を残す
ことが必要です。
 運用については、審査前に最低1回は
・全社員の教育
・監査の実施
・社長のチェック
は必須で、それぞれ実施した証拠(記録)を残します。
また、日々の業務では、
・外部の人の出入りの記録
・個人情報の取得の記録(同意書など)
・個人情報の委託の記録
・個人情報の開示の記録
などをきちっと記録し保管する必要があります。
これで初めて審査を受ける準備ができます。