概要編では、Pマーク制度の基礎知識と取得のメリットについて解説しました。
今回の基礎編Part1では、実際の取得に向けた第一歩として、体制の構築から個人情報の把握まで、実務担当者が直面する具体的な作業と注意点について解説します。
1. 取得準備と体制構築
Pマーク取得の成否を分けるのは、実は準備段階での取り組みです。
ここでつまずくと、後工程で多くの手戻りが発生する可能性があります。
1-1. プロジェクトチームの編成
プロジェクトチームの編成では、特に以下の役割が重要となります。
個人情報保護管理者の選任
経営層または部門長クラスから選任し、必要な権限と責任を明確に付与します。個人情報保護に関する最終的な責任者として、単なる役職者の「充て職」とせず、個人情報保護に関する基礎知識があり、部門横断的な調整が可能で、経営層との円滑なコミュニケーションが取れる人材を選ぶことが重要です。
PMS事務局の設置
実質的な推進役として、全体スケジュールの管理、文書類の作成・管理、教育研修の企画・運営、各部門との連絡調整を担当します。特に注意したいのが、事務局担当者の業務負荷です。既存業務との兼務が一般的ですが、取得準備期間中は相当の工数が必要となります。場合によっては、一時的な業務分担の見直しも検討する必要があります。
1-2. 現状調査
現状調査は、効率的なPマーク取得のための重要な基礎情報となります。
個人情報の取扱い状況確認
各部門での確認ポイントとして、取り扱う個人情報の種類と件数、取得・利用・保管の方法、アクセス権限の状況、委託先での取扱い状況を確認します。
ここでよくある失敗が「机上での調査だけで終わってしまう」ことです。実際の業務現場を訪問し、担当者へのヒアリングを行うことで、書面では見えてこない実態が把握できます。
既存の規程類の洗い出し
多くの組織では、すでに何らかの情報管理規程を持っているため、これらを有効活用することで、効率的な体制構築が可能となります。確認すべき既存規程の例としては、情報セキュリティポリシー、個人情報保護規程、文書管理規程、委託先管理規程などがあります。
ただし、既存規程をそのまま流用するのではなく、JIS Q 15001の要求事項との照合が必要です。特に以下の点については詳細な確認が重要です。
・最新の法令要求事項への対応
・組織の現状との整合性
・運用実態との乖離
業務フローの確認
個人情報の取扱いは、複数の業務プロセスに関わることが一般的なため、部門間での受け渡しも含めた全体像の把握が重要となります。業務フロー確認のポイントとしては、個人情報の入口から出口まで、取得時の同意取得方法、利用目的の特定、保管場所と方法、廃棄・消去の手順、部門間の連携、受け渡し時の管理方法、アクセス権限の設定、責任範囲の明確化が挙げられます。
また、よくある課題として、「部門間での認識の違い」があります。
例えば、同じ個人情報でも、営業部門と総務部門で異なる管理方法が取られているケースがあります。このような差異を早期に発見し、標準化を図ることが重要です。
1-3. スケジュール策定
現状調査の結果を踏まえ、現実的なスケジュールを策定します。
ここでのポイントは「無理のないスケジュール」と「適切なマイルストーン」のバランスです。
マイルストーンの設定
主要なマイルストーンと目安期間として、以下を設定します。
準備フェーズ
プロジェクトチーム結成、キックオフミーティング、現状調査の完了、基本方針の策定
構築フェーズ
規程類の整備、リスク分析の実施、対策の実施
運用フェーズ
試行運用の実施、従業員教育、内部監査
特に注意すべき点として、「繁忙期との重なり」があります。
例えば、年度末や決算期などの業務繁忙期は、関係者の参加が制限される可能性が高いため、あらかじめ考慮しておく必要があります。
2. 個人情報の特定と台帳整備
このセクションは、Pマーク取得において最も重要な作業の一つです。「個人情報の特定が不十分」は、実際の審査でも頻繁に指摘される事項となっています。
2-1. 個人情報の洗い出し
個人情報の洗い出しは、「網羅性」と「正確性」が重要です。
見落としのない調査を行うため、以下の手順で実施していきます。
1:部門ごとの個人情報の特定
調査の視点として、取扱い形態による分類(電子データ、紙媒体、外部媒体)、取扱いプロセスでの確認(受付・申込時、契約締結時、サービス提供時、アフターフォロー時、問い合わせ対応時)があります。
よくある見落としポイントとしては、防犯カメラの映像、来客記録、採用応募者の情報、メールアドレス帳、クラウドサービス上のデータが挙げられます。
2:保有個人データの判定
個人情報保護法では、「保有個人データ」に該当する場合、開示請求等への対応義務が発生します。
3:機微情報の確認
機微情報(要配慮個人情報)については、特に慎重な取扱いが必要です。
2-2. 個人情報取扱台帳の作成
個人情報取扱台帳は、組織における個人情報の管理状況を一元的に把握するための重要な台帳です。
形式的な作成に終わらせず、実際の運用に活用できる台帳を目指しましょう。
台帳の様式設計では、効果的な管理を行うため、以下を含めた様式を設計します。
基本項目:管理番号、個人情報の種類、利用目的、取得方法、保管場所・方法、保管期限、管理部門・責任者
追加推奨項目:リスク評価結果、安全管理措置の内容、委託先情報、第三者提供の有無、開示等請求への対応要否
特に注意したいのが「利用目的の特定」です。
「お客様サービスのため」といった抽象的な記載ではなく、具体的な業務内容と紐付けた利用目的の設定が必要です。
記載項目の決定で台帳の記載項目は、組織の規模や業務内容に応じてカスタマイズしますが、法令要求事項との対応、保有個人データの該当性、機微情報の有無、第三者提供の状況、委託の有無、リスク管理の観点、運用管理の観点は必ず含めるようにします。
2-3. リスク分析
台帳整備と並行して、個人情報に関するリスク分析を実施します。この作業は、後の安全管理措置の検討における基礎となります。
リスクの洗い出し
外部からの脅威(不正アクセス、マルウェア感染、ソーシャルエンジニアリング、委託先での事故)と
内部要因によるリスク(誤操作・紛失、不正持出し、目的外利用、廃棄ミス)の観点でリスクを特定します。
特に近年増加している事例としては、テレワークでの情報持ち出し、クラウドサービスでの設定ミス、標的型メール攻撃、SNSでの誤投稿が挙げられます。
リスク分析の実施手法では、影響度と発生可能性のマトリクスを用いた評価手法を採用しますが、現実的なリスク評価を行うためには、本人(情報主体)への影響、組織への影響、社会的な影響を考慮する必要があります。
対策の検討と優先順位付けでは、「すぐにできること」と「時間をかけて実施すべきこと」を明確に区分します。
まとめ
体制構築から個人情報の特定、リスク分析まで、Pマーク取得の土台となる作業について解説してきました。ここで重要なのは、これらの作業を「認証取得のため」だけでなく、「組織の個人情報保護体制の確立」という本来の目的に向けて実施することです。
Pマーク取得でお困りの方へ
体制構築や個人情報の特定でお悩みの方は、Synplanningにご相談ください。提供サービスとしては、現状分析支援、個人情報台帳整備支援、リスク分析支援、規程類整備支援などがあります。まずは無料相談で、貴社の課題を整理させていただきます。