ここ1年ほど、仕事のほうでPマークの更新というものを手がけている。実は、昨年12月に自社の更新作業は終わったのだが、それとクロスフェードするかのごとく、親会社の更新作業を手伝うことになった。両方とも、身の丈に合っていない規定を作ってしまったせいで、うまく動かせていないことろが複数あった。これらを解消するために、何をどうするか頭を使うのが自分の主な仕事となった。
さすがに2社もやればPマークにも詳しくなろうというもの。自分が1からPマークを取得するなら、絶対こうすると思ったことを書いてみようと思う。これからPマーク取得を検討したいという会社の参考になれば幸いだ。
1)コンサルは使うな
うちの会社・親会社はPマーク取得にコンサルを入れていたが、はっきり言ってとても対価に見合った効果を得られなかったという。
自分としてはコンサルを全否定はしないが、Pマークは自社の規模感に合わせて、ある程度柔軟に社内規程を決められるので、自社の状況や実態を知っていることが大事だ。外部からコンサルを入れると言うだけで、自社のだらしない管理実態を恥部として隠そうという人間も出てくる。そうすると、見た目だけ立派なことを謳った、使えないPマーク体制ができてしまう。
友人の会社も当初はコンサルを入れたけれども、同じ理由でコンサルを外したという。
2)根本規程はJIS基準の丸写しをしろ
Pマーク取得のために複数の規程を作る必要があるのだが、もっとも大事な根本規程(ここでは仮に個人情報保護管理規定と呼ぶ)は、変にアレンジなどせず、章番号を含めてJIS基準の丸写しをすることを勧める。JIS要求事項の何を実現するためにどの規程が作られたかがわかりやすくなるからだ。規程で求められた者を実現する手順書で、各社にあった施策を盛り込めばいい。
実際の審査基準にも「~が規定に盛り込まれていること」というのが、いくつも出てくるが、丸写しのほうが絶対にこれらを確認しやすい。
3)ガイドラインを見て対応する規定・手順書を作れ
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
JIPDECではJIS基準のガイドラインを制作して配布しているが、これを元に手順書を作っていくと効率がいい(他で認定機関へ申請する場合は、そちらを参照)。ガイドラインに沿って審査が行われるので、むしろ、そこに書かれてないものは規定しなくてもいいぐらいだ。ガイドラインの1つ1つを見ていけば、自分の会社で実際できる施策は何か、考えていけるはずだ。
以上、ものすごく単純な話だが、JIS規定や法律を難しく捉えようとするから、自社Pマーク規定も難しくなる。Pマーク取得のためだけではなく、セキュアな個人情報保護体制の構築のためにも、なるべくシンプルに仕立てた方がいい。