プライバシーマークの規格が変わったのは知っていたが・・・

■規格の改定

先日、プライバシーマークに関する問い合わせがあったので少し調べてみた。

プライバシーマークはJISQ150001に従ったマネジメントシステムを作ることを要求する認証制度だ。
古くは、1999年に制定された個人情報保護法を遵守するためのコンプライアンスプログラムという呼び名で始まり、今ではJIPDECが元締めの認証制度となっている。

2007年に改訂されてから10年近くたって2017としてリニューアルされた。

詳細は
https://privacymark.jp/system/guideline/outline.html
で見れば良いし、規格もしっかり読んでみればわかるが、それほど大改訂というわけではない。

改訂の内容は、他のISOの基準と同じように、マネジメントシステム標準(MSS)の付属書Lにしたがった構成になっている。大枠は
4.組織の状況
5.リーダーシップ
6.計画
7.支援
8.運用
9.パフォーマンス評価
10.改善
となっており、ISO9001に係わっている人にはおなじみのフレームワークだ。

ただし、これはISO27001(情報セキュリティ)と同様に、実態は付属書Aにしたがってシステムを構築することが求められる。
とはいえ、旧版と大きく異なるわけではないので、すでに取得している企業はマネジメントシステムではなく、各規定を参照している大元の「個人情報保護マニュアル」の様なものを修整すれば良い。

■新規に取得したいと思っている企業に対して思うこと

一般的に、プライバシーマークに限らず規格に従ったマネジメントシステムを構築すると言う概念はない。業務を組織として行う以上マネジメントシステムがない会社など存在しない。あるのは、規格要求事項に対応する活動の濃淡だけである。

従って、こうした認証に当たっては、社内システムについては
1.業務プロセスの整理。もしくはバリューチェーンの明確を行う
2.それぞれの活動に対して、規格の項番もしくは付属書の審査項目との対比を確認する
3.不足や欠陥があれば対応する
となり、審査に向けては
1.手続きの確認
2.スケジューリング
3.内部監査とマネジメントレビューの実施
などが必要になる。

数年前に、プライバシーマークの取得の相談を受けた。
先方は「顧客から取得を求められている」ので「一ヶ月で取得したい」というオーダーだった。
それまで内部監査もマネジメントレビューも行っておらず、業務の標準化のためのドキュメントも無い状態だった。
形ばかりのマネジメントシステムは余計なコストになることを知ってほしい。
上記の説明をしたら「キャンセル」された。

ちまたでは、短期間で廉価で取得をさせるサービスもある。
勝手にやれば良い。

業務と乖離したマネジメントシステムなんてコスト以上のものではない。

Be the first to comment

Leave a Reply