「申請まで最短○ヶ月!」といった扇情的な広告が出回っているせいか、「プライバシーマークの取得=申請書の提出」といった誤った認識が広がっている気がします。
プライバシーマークの審査に通りやすい申請書類の書き方といったことを喧伝している馬鹿コンサルもいます。
審査に通りやすい申請書類、通りづらい申請書なんてありません。必要な項目が網羅されていれば通りますし、ヌケモレがあれば通りません。それだけです。
プライバシーマークの取得が単なる申請書類の提出だけだと思っていると後々大やけどします。
1.申請書類に記入したことをわざわざ確認しにやってくる。
プライバシーマークを取得しようとする組織が守らなければいけないルールブックががあります。(JIS規格の一種です。)
申請書類に書く内容は、ルールブックに定められた諸々の規則を自社がどのようなやり方でクリアするかについてです。
「ルールは守りますよ」「はい、そうですか」で済むほど世の中は甘くはありません。本当に守っているかを審査員が確認しにやってきます。これが審査です。
プライバシーマークの取得が円滑に進まない理由は、申請書類の出来の良し悪しよりも、申請書類に書いてあることを実際にはやっていないことのほうが多いからです。
申請書類の作成をコンサルに丸投げしているので、守らなければいけないルールや実施事項がわからないまま、うやむやなままで、審査に臨むからです。
2.ルールブックには明記されてはいないが、導入しなければならない施設や設備がある。
ルールブックには、「自社で取り扱う個人情報の内容やボリュームを考慮して、お財布と相談して最良の措置を講じなさい」という旨が書かれています。
どのレベルまでの安全管理措置を講じるかは、プライバシーマークを取得する組織側で決めてよいことになっているのですが、これが建前に過ぎないことが実に多いのです。
以下のことは、審査で必ずと言ってよいほど指摘を受ける箇所です。
● サーバの保管スペース、盗難・転倒防止や停電に対応する装置の導入
● インターネット上で情報を暗号化したり、盗聴を防止するための技術・設備の導入
● Webサイトを利用して個人情報を取得する場合(お客様からの資料請求、求職者のエントリー情報等)、サイトの入力フォームからの不正アクセスを防止する技術・設備の導入
● 無線LANを利用する場合の暗号化、フィルターの設定等の安全対策の実施
● リモートアクセスを利用する場合の安全対策(通信経路の暗号化、ユーザ・端末認証等)の実施
● システムログやアクセスログの収集と分析に必要なツールの導入
審査で指摘されて初めて、これらに気付いて慌てふためくこともあります。
特に最後の「システムログの収集と分析」が大変です。個人情報が含まれるファイルにいつ、だれがアクセスして、どういった処理を実施したかを追跡できるようなシステムを導入して、実際にチェックしなければいけないからです。費用と手間がかかります。
実際には、2年後の更新審査までにこれらの設備の導入を条件にプライバシーマークの付与を許可されます。
一時期、プライバシーマークを返上する企業が相次いだのは、これらの設備の導入ができずに更新を断念したためです。
ですから、書類の提出だけでプライバシーマークが取れるなどと軽々しく考えないでください。
コンサルや審査費用の見積もりも大切ですが、上記の設備の導入に必要な費用もしっかり把握しておいてください。
>>プライバシーマークに関するお問い合わせはこちらから。