プライバシーマークセミナー

プライバシーマーク審査を受けた人から聞いた感想-その1-

このエントリーをはてなブックマークに追加  

 

プライバシーマーク審査官

 

プライバシーマークを取得するために、PMS(個人情報保護マネジメントシステム)に
文書も揃えて、運用し、申請書を提出した後は、「現地審査」があります。

 

この現地審査、通常は2名の審査官が実際にあなたの会社にきて、インタビューをしたり、
記録やシステムの確認など、"実態"をチェックするために来ます。
(丸一日がかりになるケースが大半です・・)

 

これが結構大変なんですよね。
現地審査を受けた人と話をする機会があるんですが、「疲れたぁ〜」と漏らす人が大半です。
一日がかりでヒアリングや不備の指摘をされるわけですからそりゃ疲れますよね。
そして、2回以上現地審査を受けた人がよく言っていることに

 

「前回の審査のときと全然違うことを言われた」

 

というものがあります。
そうなんです。プライバシーマークの現地審査では審査の度に違うことを言われるのが普通です。
そのとき一緒にいた人の中でこれからプライバシーマークを申請する人がいたんですが、
その人は「なんで同じプライバシーマークなのに違うことを言われるの?」という顔をしていました。

 

これには2つの理由があります。

 

1つ目は、「どこを中心に見るかは審査官に裁量がある」こと。

 

そして2つ目は、「その年々でトレンドのようなものがある」ということです。

 

 

【プライバシーマークの審査は審査官の裁量によるところが大きい】

 

これはプライバシーマークの規格であるJISQ15001:2006の文書が法律のような
文言となっているため、解釈が人によって違い、それによって審査官ごとに重視
するポイントにズレがでてくる、ということです。

 

例えばプライバシーマークの規格の中には、「適切な従業者教育を行うこと」と
されている箇所があります。
そして、この"適切な"という言葉をどのように解釈するか、ココが審査官によって
変わってくるということですね。
前回の現地審査のときは教育の仕方について何もいわれなかったのに、2年後の
審査のときは、「適切ではない」と言われる可能性があります。

 

中には非常に厳しい審査官の方もいて、対応するのに苦労する指摘をされる
ケースもあります。

 

あなたの会社をどの審査官が現地審査するか、決めるのは審査機関が決めて
しまうので、こちらから審査官を指名することはできません。どのような方が審査に
くるか、こればっかりは"運"としか言えません。

 

※ちなみに、通常はありませんがもしあまりに審査官の対応が酷く、審査機関に
よって不合理な決定がなされた場合には、審査期間に異議を申し立てることが
できます。参考:「プライバシーマーク付与機関への異議の申出に関する手順

 

 

【情報セキュリティーにもトレンドがある】

 

プライバシーマークの運営機関であるJIPDEC(日本情報経済社会推進協会)は毎年7月に
≪個人情報の取扱いにおける事故報告にみる傾向と注意点≫という名称で情報を公表
しており、これにはその年々の個人情報漏洩事件・事故のトレンドのようなものが記載されて
います。

 

例えば、携帯電話の紛失による個人情報漏洩事故が多かった場合や再委託からの漏洩
事故が多かった場合には、その翌年の審査ではその辺りが重視されたりする、といったこと
があります。
プライバシーマークの審査は2年おきなので、2年前とは事故の傾向が変わっている
可能性がある、ということです。

 

 

このように、プライバシーマークの現地審査についてはその性質上、”絶対的な解(答え)”
というものがないために、その審査の度に指摘された内容に対して臨機応変に対応していく
必要があります(要するに100点の仕組みを作るのを諦めましょうということですね)。

新しいことを学ぶには"よく知っている人に直接会って聞く"のが一番です。
100以上のセミナー・研究会に参加した経験から オススメできるPマークセミナーをランキング形式で まとめました。
>>>こちら をクリックしてご確認ください。

お願い

参考になりましたら下のソーシャルボタンから共有して頂ければ嬉しいです。

このエントリーをはてなブックマークに追加  

プライバシーマークセミナーランキング



;