こんにちは。

さて、今回は、以前のブログからの続きで、プライバシーマーク審査に関するポイントをお伝えします。

現地審査日程の調整をしましょう

以前のブログでお伝えしたように、プライバシーマークを取得するためには、審査機関へ申請を行わなければなりません。

申請を行い、審査機関へ資料が届いた後、審査機関は提出された資料に不備や不足がないかどうかを簡単にチェックします。

簡単なチェックを終え、問題がなければ、次に現地審査の日程を決めていきます。

現地審査は文字通り、プライバシーマークを取得する事業者の下へ審査機関の審査員が出向き、個人情報が適切に管理されているかを現地で確認するというものです。

実際に、従業員が働いているフロアを確認し、ルールが徹底されているかもチェックされます。

現地審査に関する詳細は、今後のブログでお伝えします。

では、申請からどれくらい経って審査員が現地審査に来てくれるか、気になるところでしょう。

2017年1月25日時点で、申請をしてから審査員が現地審査に来るまでは、約2ヶ月程度といったところです。

早い場合は1ヶ月半程度で、混んでいる審査機関は、3ヶ月以上経ってようやく現地審査が行われる場合もあります。

各事業者に即した審査機関を選んでいくわけですが、この辺りは実際のコンサルティング時にお伝えします。

文書審査

現地審査の日程が決定すれば、いよいよ審査が始まります。プライバシーマークの審査は2段階あります。一つは文書審査、もう一つは現地審査です。今回は文書審査に焦点を当てます。

文書審査は、審査機関の審査員が、申請を受け付けた事業者のマニュアルや資料を確認し、問題がないかどうかをチェックする審査です。

チェック項目は多岐に渡りますが、あらゆるチェック項目の基準となるのは、プライバシーマークの規格である「JISQ15001:2006」というものです。

JISQ15001:2006には、事業者が適切に個人情報を管理するために、事業者に対して要求する事項が多々記載されています。

この要求事項を満たしたマニュアルや資料を作成できているかどうかを確認するのが文書審査です。

審査員が文書審査を行う際には、基本的に以下の4つの判断基準を基に審査を行います。

• 〇(適合)→JISQ15001:2006が要求する事項を満たしたマニュアル・資料を作成している。問題点がないというもの。
• ×(不適合)→JISQ15001:2006が要求する事項を満たしたマニュアル・資料を作成できていない。マニュアルや資料を改善する必要がある。
• △(観察事項)→JISQ15001:2006が要求する事項を満たせてはいるが、改善が見込まれる。アドバイスに近いもの。
• 現地→現地審査の際に確認する事項。例えば、策定したルールを現場の従業員が遵守できているかを現場チェックで確認するというもの。

審査基準は、審査機関や審査員によって異なる場合があるため、Aという審査機関では「〇」の場合でも、Bという審査機関では「×」と判断される可能性も大いにあります。

その場合でも、その都度マニュアルや資料を修正していけば問題ないです。

今回は、簡単に現地審査の日程や文書審査についてお伝えしてきました。

次回は、もう一つの審査である「現地審査」に関する事項についてお伝えします。

それでは！