プライバシーマーク制度 規格改定コンサルティング実施事例 栃木県宇都宮市 印刷業
・お客様:栃木県宇都宮市の印刷業
・コンサルティング内容:プライバシーマーク制度 規格改定
・コンサルティング回数:5回
クライアントは宇都宮市の印刷業社様
今回、栃木県宇都宮市の老舗の印刷業者様にプライバシーマークの審査基準の改正に伴うコンサルティングを行いました。このお客様には約10年前にもプライバシーマーク初回登録の際に認証取得のお手伝いをさせていただきました。
初回登録後の更新審査(2年ごと)では自社にて更新審査を受けられ、社内にも個人情報保護の運用が定着しているとのことでしたが、今回の審査基準の改正は自社内だけでの対応は難しそうとのご判断からエルシーアールにコンサルティングの依頼がありました。
またこのお客様はISO9001も取得されており、プライバシーマーク運用とISO9001運用を効率的に進められるようなシステム構築を希望されました。
コンサルティングは前職(大手電機メーカー)にて情報システム構築とプライバシーマーク導入経験を持つコンサルタントが担当しました。
プライバシーマーク制度の規格が大きく変わりました
プライバシーマークはその審査基準の元としてJIS Q 15001(日本工業規格発行)をベースにしています。このJIS Q 15001が:2006から:2017に規格が大きく改定されました。この改定は個人情報保護法が改正(2017年5月30日施行)されたことの対応に加え、国際規格ISOの附属書SLで採用されている10章立て構成に再編されました。実際には情報セキュリティマネジメントシステム(ISO27001)とほぼ同様の内容へと改定されました。
プライバシーマークを認証取得されている企業にとっては、この規格改正によって導入された「組織の課題」や「リスク及び機会」という新しい概念はわかりづらく、実際にどんな規程・帳票類を用意し、何をやればよいかがわからないという声が多く聞かれます。
旧版(:2006)での個人情報保護マニュアルが、新規格(:20017)では附属書Aという位置づけとなりましたが、実際の運用の場面では大きな変更は要さないことも確認されています。
全5回の訪問コンサルティング
全5回のコンサルティングは主に以下の内容で進めさせていただきました。エルシーアールの用意したモデル文書・帳票をベースにクライアント様の状況に適した内容に変更を加えていきました。
- 第1回目:実施体制・スケジュールの確認、新規格(:2017)の規格解説
- 第2回目、第3回目:規程類(新しい個人情報保護マニュアル(10章立)、個人情報保護管理規程(付属書A)、その他)の作成、エビデンス類の作成
- 第4回目:内部監査チェックリストの作成、内部監査実施のポイント解説
- 第5回目:マネジメントレビュー実施のポイント解説、申請資料の確認
主な成果物
コンサルティングを通して主に以下の規程類・帳票類を作成しました。
- 個人情報保護マニュアル
- 個人情報運用管理規定
- 安全情報管理マニュアル
- 社員情報管理規程
- 個人情報一覧表
- 業務フロー/リスク分析シート
- 個人情報取扱い同意書
- 内部監査チェックリスト
- マネジメントレビュー記録
審査後のフォロー
お客様では次回の更新時期に向けての手続きを進めていきます。エルシーアールでは更新審査によって挙がった指摘・是正事項に対してもフォローを行っていくことをお約束して全5回のコンサルティングを終了しました。