概要
私の職場はプライバシーマークを取得しているため2年に1度審査機関から審査を受けています。JIS規格に沿った運用がされているかの確認が入るわけですが、日常の運用について書類を残したり、教育を実施したり内部監査をしたりといった実務を担当しております。
かれこれ、3回ほど審査に対応してきましたので、審査はどんなものであったかをまとめていこうと思います。ちなみに、プライバシーマークを取得して14年近く経過しております。
今回の記事では、以下のようなことを書いていきます。
- 当日は何を聞かれるのか
- 認定取り消しは有り得るのか
- 改善報告書を通すのは難しい?
当日は何を聞かれるのか
まず、私の職場はプライバシーマークの審査機関の定めるところによると、大規模事業所に該当します。大規模事業になるとかかる費用も高くなるのですが、審査の時間も長くなります。具体的には1時間の休憩を入れて8時間となります。
それで、どのような時間配分で行われるかですが、
- 09:00~09:50 代表者レビュー
- 09:50~12:00 本社にて。書類審査での指摘事項の確認・記録類の確認
- 12:00~13:00 休憩
- 13:00~13:30 他支店へ移動
- 13:30~15:30 個人情報管理台帳を基にした聞き取り
- 15:30~16:00 他支店へ移動
- 16:00~17:00 個人情報管理台帳を基にした聞き取り
- 17:00~17:20 不適合事項の確認
というような感じです。
本社に滞在している時間が短いのですが、これには理由があります。というのが、審査員の方が3度目のご担当でしたので、割とこちらの業務に関して把握しつつある状態であったため、こちらの組織や業務について1から説明する必要がないため時間が短縮可能な様子でした。
前回の審査では審査員の方が初めての対応でしたので、こちらの組織や業務を説明して概要を把握するまでに2時間近く時間を要しました。大規模事業所となると部署も複数あるため、これぐらいはかかるように思います。
9:00~9:50 代表者レビュー
これは、毎回ですが、20分程度を予定しているにもかかわらず、毎回4・50分はかかっています。
代表者レビューの目的はどうやら、組織としての課題や今後の方向性などをヒアリングしているように思います。実務的なことは聞くことは今までなかったようです(自分は立ち合いをしていないので内容は知らないのですが)。組織としての課題というのは個人情報に関することに限っているわけではなく、経理的なことや営業上のことであったり、経営全体の課題を聞いてきます。
ちなみに、ここでは何を言っても認定の合否には一切影響しないと思われます。私の職場の代表者は結構マイナスなことも話すタイプですので、本社は問題ないが支店となるとレベルが何段か下がるので個人情報の漏洩等不安はある、各支店の統制がなかなかとれないなどと言ったことを話したりします。
そして、そこで出された課題を審査員が頭に入れつつ、代表者レビュー以降の審査が進んでいきます。
9:50~12:00 本社にて。書類審査での指摘事項の確認・記録類の確認
ここからが、監査本番といった雰囲気になります。
まず、1番に業務フローとリスク分析を渡すようにお願いされます。
私の職場では、個人情報管理台帳という業務フローとリスク分析を兼ねたような台帳があるのでそれを渡します。
何をするのかと言えば、業務の流れを話をしながら追っていく作業と、特定漏れがないかを探すためです。
これは結構な確率で指摘されます。今まで、特定漏れがなかった事はありません。
特定漏れというのは、職場で扱う個人情報は全て台帳に記載して管理しておかなければならないのですが、その台帳に記載がないことを言います。例えば、氏名と住所、電話番号が記載された顧客名簿が存在するのに、個人情報管理台帳に顧客名簿と記載がない場合特定漏れとなります。
審査員2名で行われるのですが、主任審査員が主にヒアリングで、もう一人の審査員が記録類に不備がないかを細かくチェックしていきます。主任審査員はPDCAの要となる部分を重点的に聞いてきます。内部監査、教育については、記録類含め掘り下げてきます。それ以外の運用状況に関する部分をもう一人の審査員が全ての記録類に目を通す感じです。
主任審査員でない方の方(審査員と言います)が全ての記録類をチェックしていきますので、不備を指摘してくる数は多いです。しかしながら、それは主任審査員の裁量で不適合になるかどうかが分かれます。ちなみに、審査員の方が出した指摘は主任審査員の判断により、最終的には1つしか不適合とはされませんでした。例えば内部監査計画書に日付が入っていない、といったことは指摘はするものの不適合として改善報告書までは求めらないということです。今回の審査員の方は、記録類に日付が入っているか否かを相当気にしているようでした。逆に主任審査員の方はそうでもない感じでした。
ちなみに、今回審査員に出された指摘は、業務委託先の監督について毎年調査票を回答して監督する旨を定めているのですが、その調査票の記録が一昨年の分しかなく、昨年の分がないため、規定を満たしていないということで不適合となりました。
さて、不適合が出されると、必ずこちらも言い訳をします。すると、主任審査員の方がアドバイスをくれます。そういったことを聞いていると、かなりテクニカルな気がします。業務委託先の監督についても例えば、監督の方法は調査票を送って書いてもらって送り返してもらうというやり方だけではなく、シュレッダー業者であれば、廃棄した時の廃棄証明書などを保管しておくことでも監督と言える可能性があるというアドバイスを受けました。
12:00~13:00 休憩
当然かもしれませんが、審査員の方とは別で食事をとります。御馳走などは不可です。
13:00~13:30 他支店へ移動
公用車で一緒に移動します。車中では業務を忘れてプライベートな話が盛り上がります。これを契機に一気に監査の雰囲気が変わります。あくまで午前中が勝負と言わんばかりに午後は脱力していきます。
過去の審査員もそうですが、トーク力高い。特に主任審査員は喋り方も早い。
13:30~15:30 個人情報管理台帳を基にした聞き取り
拠点を変えて、個人情報に詳しい担当がいない支店での審査です。業務用のシステムやサーバーがあるのですが、誰も管理できておらず、業者に任せっ放しという状況です。
まず、ここでも特定漏れを指摘されます。
次に、システムの担当者がいないということでサーバーの構成やクライアント端末のセキュリティ状況を確認します。
さて、注意しておきたい点がわかりました。
それは、支店の責任者なのに個人情報管理台帳の見方がわかっていない場合です。審査員の方も結構イラついてました。一番下っ端の自分が個人情報管理台帳について一番把握しており、相手の言わんとしていたことが伝わっていたので助言をして、特定漏れであることを結論付けてもらいました。
要するに、審査員の方々はそうそうに特定漏れを出したいのに、それが伝わらないとどうしようもないのです。しかも、事業場の責任者であれば個人情報管理台帳を把握していて当然のため、ズバリと聞くこともできないわけです。この台帳に何も記載されていないけれど何か理由があるんでしょう?というスタンスで聞いてくれるのですが、それが伝わらんのです。責任者バカだから。え?台帳?何ですかそれ?みたいな感じです。
責任者が、個人情報管理台帳て何?というレベルはかなりヤバいかもしれません。
聞き取りが終わると、事務所の中を実際に見て回ります。サーバー室や書類が保管してある部屋をみるのですが、見ていて感じるのは仕事場を見ることで業務をイメージしやすくしているのではないかということです。あまり、何かを指摘するという事はないように思います。監査員の得意分野にも依りますが、サーバー室に関してはサーバー機器やNAS、ルーター、UPSといった周辺機器までチェックし、データの消失に備えてあるかを確認しています。
15:30~16:00 他支店へ移動
ここでも、雑談が盛り上がります。
16:00~17:00 個人情報管理台帳を基にした聞き取り
先ほどの支店とほぼ同じ状況です。
ただ、良いアドバイスを受けました。それは、ネットバンキングをやっている端末に入っているアンチウイルスソフトがウイルススキャンの機能しかなく、ファイアウォール機能がないものでした。これはマズいです、と言われました。
ここも、サーバーやらがあるのですが、誰も管理してはいません。
審査員)一応、職員の方に聞いてみましたが誰もバックアップがどこだとか、サーバーがどれかとか把握されてませんでした。
我々)そうだと思います。
審査員)私も聞いても、正確な答えが返ってくるわけではないと感じましたので、どうした方が良いとか踏み込んだことは話しませんでした。今後、お二人にもサーバー等の管理に携わって頂くことが良いと思います。
我々)分かりました。
というやり取り。
17:00~17:20 不適合事項の確認
ここでは、総括が行われます。
今日一日で感じたことが話されます。
全体としては意識が高く、運用状況も良好でした。といった感じです。
次に、不適合として後日文書で報告する事項を確認していきます。
今回は、特定漏れが3つありました。
そして、もう一つ、これは次回の監査までに改善を要求されたものですが、私の職場の個人情報保護規定はJISQ2006に対応したものでしたが、監査は2020年で、実際にはJISQ2017に対応しておく必要がありました。私も正直、JISQ2016→JISQ2017へ対応するのが面倒だったので、これを機に徐々に対応していこうかなと思いました。
こういった、指摘は継続改善事項と言われ、不適合とは区別されます。つまり、不適合は所定の期日に直さないと更新の認定を受けることが出来ないのに対し、継続改善事項は次回の審査までに直しておけば良いのですぐに直さなくても更新の認定に影響しないのです。
ということで、今回は不適合が特定漏れの3点と、継続改善事項が1点でした。
これを1~3か月かけて改善し、改善報告書にまとめて提出します。
認定取り消しは有り得るのか
これは、維持するのを放棄しようと思わない限り有り得ないと思います。
実際に取り消された事例を聞いたのですが、とてつもない情報漏洩事故を起こした、とかではなく、改善報告書を期日(審査の日から最大4ヵ月くらいかな)までに提出しない場合らしいです。プライバシーマーク審査センターの方から連絡を入れるのですが、何の音沙汰もないため取り消しに至るというもののようです。
取り消されるのはそんなものだろうなと思います。今回、私も日々の運用に慣れきっていたり、他の業務が若干忙しい事もあって、個人情報の運用に関してかなり手を抜いていて、実際に記録類も完全に揃え切らずに審査を受けました。
記録類がないことを指摘されるものの、それはただの不適合事項になるだけです。
ただ、プライバシーマークの維持で不可欠の取り組みは、内部監査・教育・トップマネジメントレビューの3つだと言われています。これはPDCAサイクルを回すうえで欠かせないとされています。どれかが欠けていればPDCAサイクルが回っていないと見做されることになります。
これらに関しては書類や記録を揃えていました。これらがないとどうなるのかは分からないのですが。
2年に1回の審査は、あまり構える必要はないと思います。むしろ、面倒なところや、手を付けていないところ、良く分かっていないところ、に関して必要性を聞いたり、どうしたら良いかのアドバイスを聞ける機会のように思います。審査員の方も聞かれたことには嫌な顔せず答えてくれますので聞いた方が得です。
改善報告書を通すのは難しい?
基本的には簡単であると思います。その理由としては、指摘がかなり細かく具体的なので、改善もしやすいことと、かなりゆとりのある期日が設けられるからです。3か月くらいは普通に時間をかけれます。
難しい場合であっても、プライバシーマーク審査センターに改善報告書を送る前に、改善報告書を主任審査員の方にメール等で送るなどしてチェックしてもらうことが出来ます。もしそこで、認定の承認が出ないと判断される場合は、アドバイスをくれるものと思います。
私も、事前に審査員の方に内容チェックしてもらいますが、そこそこ適当に作成した改善報告書であっても、「宜しいです。御提出をお願いします。」と返事がきます。というか、指摘されている部分が明確なので改善したことを示すことも明確になるので、あまり困ることがないと思います。