明日から毎日届く6日間のメールセミナー形式。「プライバシーマーク取得前に知っておくべきこと」「費用をかけずに取得するためには」など初めて取得に取り組むための情報を無料で手に入れることができます。
※ご登録いただいた個人情報は完全にお守りいたします。※迷惑メールの類はいっさい送りませんのでご安心ください。
※【Pマーク取得メール講座】(全9回・無料)を終了後も、プライバシーマークに役立つ情報・特典を無料で配信いたします。
※購読中止・解除はいつでも行えます。
私たちのホームページにアクセス頂きありがとうございます。
私たちは、プライバシーマーク(Pマーク)コンサルティングに新しい価値を生み出し、情報セキュリティ市場の活性化を目指すコンサルティング集団「ホリデーコンサルティング」と申します。
はじめまして、マネジメントシステムアドバイザーをしております酒井教彰と申します。
現在コンサルタントとして、「プライバシーマークやIS27001を取得検討されている方」に対して「小予算かつ短期間で取得する」ための支援を行っています。
これまで多くのコンサルティングを行ってきましたが、皆様、プライバシーマークについて大きな誤解をしていらっしゃるなと感じることが多々あります。
その誤解とは、かんたんに言えば、プライバシーマーク(Pマーク)について「難しく捉えられている」ということです。
私どもは毎月セミナーを開催しておりますが、オフィス設備について、このようなご質問を頂きます。
カードキーを導入しないといけないのか?
オフィス内に仕切りが必要か?
エレベーターから降りるとすぐオフィスにつながっているのは問題があるか?
USBメモリやノートパソコンなどの持ち出しを禁止しないといけないのか?
などなど
結論から言いますと、全く必要ありません。
私たちは、これまで多くの中小企業様のコンサルティングを行ってきましたが、そのほとんどが新たな設備導入や出費を一切行わず取得しております。
そもそも、プライバシーマーク取得において設備投資は重要な要素ではありません。
おそらくこのような誤解をまねいている原因は、プライバシーマーク(Pマーク)を取得基準が高いものだと考えてしまっているからだと思います。
プライバシーマーク取得は、実はそれほど難しいものではありません。ただし、本来取得に不必要な「カードキーなどのセキュリティシステムの導入」や「ノートパソコンの持ち出しの禁止のルールの設置」など、 ご自身の手でどんどんセキュリティルールを複雑化させてしまえば、かんたんに取得できるものもどんどん難しくなってしまいます。
本来、プライバシーマーク(Pマーク)は、セキュリティルールの無駄を省き、スリム化すれば、かんたんに取得することが出来るのです。
私たちが、中小企業様専門と謳わせて頂いているのは、中小企業様の実情を踏まえて、セキュリティ担当者がいなくても、誰でも運用が可能なルール作りを行い、取得も更新にも負担のかからないようにすることを目的としているからです。
私たちのプライバシーマーク(Pマーク)コンサルティングは業界一かんたんな運用ルールであると自負しています。スムーズなプライバシーマーク取得・更新のサポートをすることが可能です。
プライバシーマーク(Pマーク)取得及び更新についてお悩みであれば、お気軽にご連絡ください。
私たちのプライバシーマーク(Pマーク)取得及び更新コンサルティングは、内部監査や、教育、指摘事項対応など全てのフルサポートでサービスを行っています。料金表記載以外の追加料金は一切不要です。是非、お気軽にお問い合わせください。
業務多忙、専門担当者が置けない中小企業様のために特化されたコンサルティング。手間をかけないことがプライドです。
導入からPマーク取得まで一貫して携わった企業数が250社以上!全国に取得実績があるので安心してご利用いただけます。
「〇月までに取得したい!」にご対応します。ムダを省いたマニュアルとルールだからこそ出来る最短取得!
追加料金は一切いただきません。コンサルティング料金のみのシンプルな料金体系!ムダな出費はありません。
プライバシーマークのことなら何でもご相談ください。Pマークの構築でわからないことがある。更新の仕方でわからないことがある。指摘事項の対応がわからない。など、 「お気軽に」「何でも」「どなたでも」ご相談ください。 ※ご相談頂いた内容は、下記にてご返答しております。
施錠管理についてのご質問
同居同室の会社がいる場合のご質問
-
Pマーク取得を考えている中小企業です。事務社は関連会社との同居(入口は一箇所で施錠管理も同じ)になっていますが、問題点は無いのでしょうか?
-
同居でのプライバシーマーク取得を目指す場合は、その関連会社と御社で個人情報を共有せず、その取り扱いも区別することを求められます。
審査時に以下のケースが求められたことがございますので参考にしてください。
・仕切り、パーテーション等を置いて物理的に関連会社とレイアウトを分ける。
・個人情報の保管する書庫等の共同利用しない。
・鍵の管理は関連会社ときちんと分ける。
・社内ネットワークを別回線にする。
・サーバーを共有しない。
・関連会社間で機密保持の契約を取り交わす。
もちろん、以上の全ての項目がプライバシーマーク取得に必要というわけではありません。
会社の規模、オフィスの状況によっては上記のようなことが求められるケースがあるということを念頭に、ただし、無理をせず、関連会社との個人情報の取り扱いの区別を今御社で出来る範囲の準備をして頂いて申請することをお勧めします。
同居時の個人情報の取り扱いの判断は審査官によって指摘内容が大きく変わりますので、上記の例の全てをお金をかけてまで準備したとしても、実際の現地審査では全く触れられないケースもおおいに考えられます。
現状出来る範囲で準備を行い、実際に審査で指摘された足りないものを現地審査後に対応するといった形が一番効率的で、一番お金をかけずに取得できるコツだと考えます。
-
安全管理策の訓練についてのご質問
-
弊社は20名弱の小企業で、事務所はビルの1フロアです。
火災訓練、地震対策訓練等をやる必要が無いと思いますが、対策文書や実施記録が必要なのでしょうか?-
対策文書や実施記録は必要ありません。
ただし、「安全管理策として火災訓練や地震対策訓練のマニュアルを作成する」と規定化されている。また、「その実施記録も作成する」と規定化されているのであれば、対策文書や実施記録が必要になります。
ちなみにプライバシーマーク取得を目指すのであれば、物理的安全管理策として、火災対策や地震対策を検討する必要がありますが、その手段は会社毎で決めて頂いてかまいませんので、訓練等を行う必要性は一切ありません。
御社の規模の会社様であれば、安全管理策として火災訓練や、地震対策訓練を規定化されることは非常にまれだと思います。規定化される場合、規定化することによりそれを行う義務が生じますので、普段行っていない行動であれば、規定化することによって負担が生じる可能性があります。
私個人の意見としては規定化する必要はないと考えます。対策文書や実施記録も作成することも規定化しないことをお勧めします。
規定化しなければルールとして確立されていませんので、対策文書も実施記録も必要ありません。
-
教育訓練についてのご質問
-
教育研修についてご相談です。非常勤役員に教育研修を受けさせる必要がありますでしょうか?受講しなくてもPマークは取得できますか?
-
非常勤役員の方に郵送もしくはメールで研修テキストを送付する対応はいかがでしょうか?
原則、全ての従業者(非常勤役員も含められる)に対して教育研修を行う必要がありますが、教育は従業者全員一律の対応である必要はありません。
例えば、常勤役員と一般社員は集合研修で小テストを行い、非常勤役員はテキスト送付を行い、その方々からは小テストではなく、テキスト閲覧の言質をメールなどで頂けば良いのではないでしょうか?
他の皆様も上席である上に非常勤である役員の方の対応が難しいと頭を悩まされていらっしゃいますが、 非常勤役員だから受講させられないという対応では審査官の印象が悪くなります。集合研修や対面研修が難しいのであれば違う方法を考えることが重要です。
-
外部委託契約書についてのご質問
-
外部委託先から契約書を結ぶことが難しい場合はどのような対応が出来ますでしょうか?
-
個人情報の取り扱いに関する契約書や覚書が結べない場合は、最低限、委託先が御社の外部委託基準を満たすかどうかの確認を行ってください。
Pマークで求められる委託先管理の手順は、大きく3つのステップがあります。
①委託しようとしている会社(もしくはすでに委託している会社)が御社の定める外部委託基準を満たすかどうかの確認を行う。
②基準を満たした委託先と、JIS規格で求められている内容を盛り込んだ契約書や覚書を交わす。
③定期的に外部委託基準自体や契約書や覚書、委託先を見直すこと。
ご質問の内容であれば、最低限①と③のステップは行うことは可能だと思われます。
①の外部委託基準は、通常であれば、御社からチェックシートを送って先方から回答をもらっているかと思います。
今回は、先方回答ではなく、先方の契約約款など個人情報の取り扱いについて記載されているものを「御社で」ご確認頂き、「御社で」チェックシートを作成してください。
そうすれば、先方に手を煩わせる必要はないので、どの委託先でも対応が可能なはずです。チェックシートは必ず先方から回答をもらわないといけないというわけではありません。もらうことが難しい場合は御社でチェックを行ってください。
会社の力関係や、取引関係によっては契約が難しいということは多々あるかと思います。
ただし、だからと言って何もしなくても良いというわけではありません。
①を先方回答ではなく、御社確認とすればどの委託先でも対応は可能なはずです。まずは①を満たしたという記録を残してください。
取引の関係上、契約書が結べないとお困りの場合、①と②を一緒に考えてしまっているかもしれません。別々のステップとお考えください。
委託先の手順として、まず、そもそも委託先が御社の外部委託基準を満たしているか確認する必要があります。その上で、基準を満たしている会社であれば今後の取り扱いについても保証してもらう為に契約書や覚書を交わす。
通常であれば、この順番になるはずです。
②番目の対応が出来ないのであれば、①の対応を最低限を行ってください。 具体的には、外部委託基準チェックシートとその確認を行った契約約款を記録として残すことです。契約書を取れない理由が怠慢でなければ①の記録があれば審査は通ります。
-
書庫を施錠せずにプライバシーマークを取得することは可能でしょうか?
はい、可能性は充分あると思います。事実、私が担当した会社様で書庫を施錠せずに取得しております。
ただし、「個人情報保護マネジメントシステム実施のためのガイドライン」にも施錠管理は求められており、実際の審査時にも必ず言われる項目であることはご認識お願いします。
そもそも、なぜ施錠する必要があるのか、審査の時になぜ求められるかですが、それは施錠保管することで個人情報の盗難などのリスクを軽減できるからです。
施錠されていないむき出しの状態よりも、施錠保管の方が明らかにリスクは軽減されます。その為、個人情報保護のルールとして求められるケースが多いのです。
しかしながら、個人情報の保護のルールは会社毎で違うのも当然で施錠管理ではない個人情報保護のルールもあるかと思います。上記に挙げたガイドラインも一つの指針であり絶対的なルールではありません。 個人情報の盗難のリスクを軽減する措置を行っていることが重要で、施錠管理自体が目的ではありません。
ご質問頂いた理由は存じ上げませんが、御社が小規模事業者もしくは小規模事業者に近い中規模事業者であれば、書庫を施錠せずにプライバシーマークを取得すること自体は可能だとは思います。
ご質問頂いた理由を現在施錠管理できる書庫がないためと推測しますと、その場合は、書庫保管以外のリスク軽減措置を取る、もしくは未来に施錠管理が出来る書庫を買う予定とし、現在のリスクは「残ってしまうリスク」として記録管理を行うことで審査は充分に通るかと思います。
注意点としては、会社規模も大きく、資本(お金)もあり、取り扱っている個人情報も重要かつ量も多い状況では、ただ単純に「今施錠管理できる書庫がないからやりません」では審査は通りませんのでご注意ください。
また、審査機関、審査官によっても判断が大きく違いますので小規模事業者でも審査が通らないケースもあります。そのため絶対ではありませんが、書庫に施錠せずにプライバシーマークを取得することは充分可能であると判断します。