プライバシーマーク更新奮闘記～前編～（全3回）

前回完結したコラムは取得奮闘記であり、今回は更新奮闘記となる。

遡ること2年前、 弊社は苦労してプライバシーマークを取得したわけだが、残念ながら一度取得したらそれで終わりというものではない。

プライバシーマークは初回認定後、２年毎に審査機関での更新審査を通過し、再度認定を受けなければならず、これを受けなければせっかく取得したプライバシーマークはパーだ。取得時と同様、また申請～審査が必須となるわけだ。

では取得後2年間は具体的に何をしなければいけないのか。

前回の新規審査時から現状まで取得した個人情報およびそのリスクアセスメントの更新・見直しを行うことが必要で、さらに個人情報を適正に取扱う、各種記録を取り続ける、また内部監査を行い、マネジメントレビューなどの一連のマネジメントシステムも規程通りに運用されている、ということを証明しなければならない。

例えば日々、もしくは月1ペースで続けなければいけない記録類として、ほんの一部だが下記のようなものがある。

入退室管理記録～外部からの来訪者の来社記録～パソコン、サーバーの定期確認 記録～個人情報廃棄記録～税理士、会計士など何がしかの外部委託を行っている場合の個人情報授受記録～ＰＣなど買い替えた際の情報機器利用申請～職場内に個人情報に関わる共有物（会社のカギなどもあてはまる）があれば貸与物管理台帳

など他多数。これでもほんの一部だが読むのが面倒と思われたのではないだろうか。

それに加え、業務フローが変わった場合はフロー図の作り替え、何か新しい外部委託先が増える際は都度誓約書を結ぶなど、取得後の維持が非常に七面倒ということがおわかりいただけるだろうか。

プライバシーマークは更新の際には、その基本精神である 「個人情報保護の取り組みのスパイラルアップ」が求められるため、むしろ取得時よりも高いレベルの個人情報保護が要請される。

しかし逆にいえば、プライバシーマークを取得し、維持している事業者というのは、法令で求められている以上のレベルで、個人情報に関わる内部統制が整備できていると言え、信頼度は高いと言えるだろう。

とういうことで、この回では初回取得後に弊社が規格維持のため日々行っていることを記載したが、次回は実際の2度目の審査に向けて何を準備したかを書こうと思う。

中編はこちら
後編はこちら

関連ニュース：株式会社お問合せポータルはプライバシーマークを更新しました
関連カテゴリー：Pマーク更新支援

(タグ：お問合せポータル 松原)