理論上はあります。
ただし、現地審査後の改善報告をきちんと行えば特に問題はありません。
たまに聞く話ですが、現地審査で沢山の指摘をもらいすぎて、改善報告が出来ないという場合があります。
沢山の指摘というのは、そもそも申請した書類の内容と、実際の状況に差異が多くあったということです。
このケースになるのは「自社のみで取得」した場合が多いと思います。
正確に助言する人がいないので、どうしたらよいのかが分からないまま、そのまま審査を迎えてしまったということです。
一般的にはコンサルティング会社に支援してもらえれば、このような状況になることは、まずないと思います。
当社のコンサルティングサービスでは、取得が出来なかった場合は全額返金させていただいております。
詳しくはコチラから
体制上、代表者、個人情報保護管理者、個人情報保護監査責任者という3つの役割を設置しなければなりませんが、兼務することは問題はありません。
ただし、個人情報保護管理者と個人情報保護監査責任者は必ず別人でなければなければなりません。
この条件を満たせば、社員2名の小規模事業者からの申請を受付けてくれます。
プライバシーマーク(Pマーク)のコンサルタントは何をしてもらえるのか?
日頃の仕事で、コンサルティングを経験されたことがない方には、分かりにくいですね。
このようなご質問に対して当社は下記のたとえ話をしております。
コンサルタントは「受験生をサポートする家庭教師のようなものです!」
受験は独力でもできますね。
ただ、目的の学校に合格するためには、効率的に勉強したいものです。
過去問題や傾向等をふまえたテキストがあって、受験生の得意な教科を伸ばしつつ、不得意な教科を集中的にサポートする。
独力で勉強するよりは合格率はかなり上がるのではないでしょうか?
プライバシーマーク(Pマーク)のコンサルタントも同様です。
経験豊富なコンサルタントが、完成度の高い雛形をご説明しながら、お客様に宿題(作業)をしてもらいます。
それらを着実に一つずつこなしていくことで、プライバシーマーク(Pマーク)の申請に必要な資料が完成できます。
あとは現地審査という、受験で言うと二次試験(面接)を受けるわけですが、今まで勉強してきたことを、面接官(審査員)に説明できれば100点満点ではないかもしれませんが合格できるのです。
受験と違うところは、受験はチャンスは1回だけですが、プライバシーマーク(Pマーク)は1回の審査で合格できないと取得できないというわけではありません。
何回も改善報告書を出すチャンスがあるので、コンサルタントがサポートしていれば確実に合格することができます。
お客様のオフィス環境がどういうものか分からないので一概に言うことは難しいのですが、実際は、そんなに厳しいものではありません。
会社組織となれば以下のものはあるのではないでしょうか?
・鍵付きの入口ドア
・鍵付きのキャビネット
・会議室もしくは会議スペース
これで十分というわけではありませんが、認証付きのドアや壁、パーティションがないとプライバシーマークが取れないという訳ではありません。
したがって、あまりオフィスの事を気にする必要はありません。
それでも気になるお客様は当社が無料で行っているオフィス適正診断をお申し込み下さい。
(申し訳ございませんが東京のみです)
詳細はコチラから。
当社のお客様の例で申しますと取り組み開始から取得まで約9ヶ月ぐらいです。
内訳としては以下となります。
1)取り組み開始から申請まで約5ヶ月。
お客様の進捗により短縮は可能です。
当社の場合、2ヶ月弱で申請されたお客様もいます。
ただ短縮するには、お客様の取り組みも忙しくなります。
早めを目標とするならば、3ヵ月ぐらいが現実的かと思います。
2)申請から認定まで約4ヶ月。
審査機関のスケジュールに影響されるため、申請事業者やコンサルタントは期間の短縮は困難と思った方がよいでしょう。
また、コンサルタントが推奨する審査機関があればスムーズでしょう。
専任者は特に必要ではありません。
逆に専任者が置いている企業は、ほとんどないのではないでしょうか。
皆様ご自分のお仕事の合間に、プライバシーマーク(Pマーク)の活動をされています。
プライバシーマーク取得するのに必要なコストは以下の通りとなります。
1.審査機関に支払う費用(小模事業者様の場合)
申請料 5万円
審査料 20万円
マーク使用料 5万円
2.セキュリティ対策にかかる費用
ここは事業者が既に設備としてある場合があるので、一概には難しいですが、あまり設備をもたれていない20名の会社様を想定した場合
ファイルサーバー 数万円(外付けHDDでも可)
無停電電源装置 1万円以下
アクセスログソフト PC1台あたり5千円
セキュリティワイヤー 1本あたり2千円(ノートPCに接続するもの)
なお、当社の場合アクセスログソフトを契約ユーザ様には無償で提供しています。
詳しくはコチラから
3.コンサルティング会社と契約する場合
コンサル会社によりけりですが小模事業者様を想定した場合
60万円~120万円
プライバシーマークとISO27001では同じセキュリティ関連の認証ですが、そもそもの目的が異なります。
ISO27001は社内の情報を資産とみなし、「企業の情報資産の保護」を目的としています。
一方、プライバシーマークは「人権の保護」を目的としている点に大きな違いがあります。
プライバシーマークは単なるセキュリティの規格でなく、本人からの苦情・相談、開示・訂正・削除の求めに対して応じなければなりません。
したがって、極端に言うとISO27001は「自社を守る仕組みつくり」、プライバシーマークは「本人を守る仕組みつくり」と言えるかもしれません。
ココがポイント!
ISO27001はプライバシーマークに比べ、2倍以上の作業とコストがかかります。
取得後も、ISO27001は1年毎に維持審査を受けなければいけません。
このような状況ですので、もし、お客様が「取得する」ことを目的としているならば、作業やコストが少ない、プライバシマークをご選択された方がよいかもしれません。
どちらにしてもお客様の置かれている状況や対外的なメリットを考慮して、冷静に判断されることが必要です。
JISQ15001とは、1999年に通産産業省より告示された日本工業規格です。
別名「個人情報保護マネジメントシステムの要求事項」と呼ばれており、企業が個人情報保護のための体制作りに必要な最低限の要求事項を網羅しています。
マネジメントシステムは代表者による方針のもと、計画(PLAN)、実施(DO)、監査(CHECK)、見直し(ACTION)を繰り返し循環させることで組織の管理能力の継続的な発展を追求してことを目的としています。
プライバシーマーク(Pマーク)制度は、このJISQ15001に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマーク(Pマーク)を付与し、事業活動に関してプライバシーマーク(Pマーク)の使用を認める制度です。
JISQ15001は日本規格協会から販売されており、Webより購入するのが便利です。
なお、冊子版とPDF版を選択できますが、社内で利用するにはPDF版を購入された方が良いかと思います。
日本規格協会のWebサイトはコチラから
※分かりにくいサイトですが、下から2/3ぐらいのところで規格の検索ができるところがあります。ここから「JISQ15001」と検索してみてください。
ココがポイント!
「個人情報保護マネジメントシステム」は略称「PMS」(Personal information protection Management System)といい、審査上でも事あるごとに飛び交う言葉なので覚えてください。
メリット
1.取引先への信頼性のアピール
プライバシーマークを掲示することにより、取引先からの信頼が向上します。最近では取引先選定の条件とする傾向があります。
2.個人情報保護のマネジメント体制の確立
JISQ15001要求事項に対応することで、個人情報保護のための社内のリスクマネジメント体制を確立し、事故の未然の抑止力を高めます。
3.社員の意識の向上
社員が個人情報の取り扱いについての認識を高めることで、適切な個人情報保護を行うことができます。
4.個人情報保護法への対応
2005年4月施行の個人情報保護法に対応する社内の体制を確立することができます。
デメリット
1.コスト
最低限、申請費用、審査費用、マーク使用料がかかります。
コンサルタントに依頼する場合はコンサルティング費用が加算されます。
2.作業・メンテナンスの手間
取得までにかかる作業や取得後に定期的に行わなくてはいけない記録簿の記入、教育、監査等の手間がかかります。