暖かいから暑いへのシフトチェンジが始まってきたような気がします。
あと何日冷房をつけずに夜を過ごせるのでしょうか。
さて、今回は「審査指摘事項の対応」についてお話しようと思います。
審査指摘事項対応って?
審査指摘事項とは、読んで字のごとしです。
プライバシーマークの適合性審査を受ける際、JISQ15001の要求事項に則していない、もしくは要求事項を満たしていない場合に、「不適合」が出ます。
しかし、「不適合」が出たからといって、プライバシーマークが取得できないということはありません。
JISQ15001の要求を満たし、個人情報保護体制を築くために、この不適合に対応し、改善をし、審査機関からOK(適合していると認められる)をもらえれば、晴れてプライバシーマーク認証取得となります。
この審査指摘事項対応というのは、2回対応する必要があります。
1回は「文書」に対する審査指摘事項への対応です。個人情報保護マネジメントシステムで使用する文書やフォーマットなどが要求事項を満たしているか否かを審査され、そこで出た指摘に対して対応するというものです。
2回目は「現地」での審査指摘事項対応です。規程で定められたルールが現場で実際に運用されているのか、個人情報が適切に扱われているのかを見られる現地審査で、現場で特定されていない個人情報が見つかったり、現場が個人情報を取りあつかうのに適切な環境でなかったときなどに、指摘が出され、それに対応するというものです。
例えば、規程で「机の上やプリンターに個人情報の記載された紙を放置しない」と規定されているにも関わらず、出しっぱなしになっていたりすると、それに対して指摘が出されます。
では、以下でどのような指摘が出されることが多いのか、その指摘に対してどのように対応していけばいいのかについて話します。
文書審査
文書審査は、前述のとおり、文書が要求事項を満たしていない・規定されていないなどのケースで「不適合」が出されます。
文書審査の指摘事項例と、それに対する対応例を下の表へまとめてみました。
| 文書審査指摘事項 | 対応 |
| 個人情報管理台帳の「保管期間」に抜けがある。 | 個人情報管理台帳の当該「保管期間」を定める。 |
| 個人情報保護規程の「個人情報の開示を求められた場合」の要求事項のただし書きに抜けがある。 | 個人情報保護規程の開示等の項目へ、要求事項のただし書きを追記。 |
| リスク管理表の紙媒体の保管方法に、「キャビネットへ保管」とあるが、個人情報保護規程には「社長の袖机にしまう」とある。 | 当該個人情報のリスク分析をやり直し、個人情報保護規程の定めどおり、保管場所を「社長の袖机」とする。 |
現地審査
現地審査も前述のとおりです。現地にて文書を参考に運用の状況をチェックされ、要求事項を満たしていなかったり、規程と運用の実態に齟齬があったり、実効性などがなかったりすると「不適合」が出されます。
文書審査にならい、現地審査も指摘事項例と、それに対する対応例を下の表へまとめてみました。
| 現地審査指摘事項 | 対応 |
| 規程には、紙媒体は使用後即シュレッダーとあるが、現地では使用後の紙媒体がそのまま積まれていた。 | 指摘された紙媒体をシュレッダーにかけ、随時シュレッダーにかけるよう再度指導した。 |
| Webの「個人情報保護方針」が最新でない。 | 最新の「個人情報保護方針」をwebへ反映した。 |
| 「○○管理台帳」の承認印がない。 | 管理者より「○○管理台帳」の承認印を得た。 |
改善されるまで続く
審査対応は、必ずしも1発でOKになるとは限りません。これは、指摘事項が改善され、要求事項を満たしていると認められるまで続きます。多くの場合は、1~2回で済むという認識です。
しかしながら、うっかり印鑑を付け忘れたり、修正前の書類を送ってしまったり、対応が改善要求にそぐわなかったりを繰り返してしまうと、もう少し回数は増えてしまうかもしれません。
ですが、プライバシーマークの的確性審査は、落とすためではありません。より良くしていくための審査ですので、根気強く改善と運用をしていけば、道は拓けます。
指摘事項に対応し、要求事項を満たしている、かつ、健全な運営ができていると認められれば、晴れてプライバシーマーク取得です!
以上です。審査指摘がきたら、何をしたらいいのか少しでも分かっていただけましたら幸いです。
では~
![無料相談ダイヤル:[tel_free_consul]](https://www.lrm.jp/privacy-mark/blog/wp-content/themes/blog/images/f_tel.png){kind=small}