審査について
PMS認証取得までの所要時間は最短どれくらいか
- 通常:8ヶ月(PMS構築を4ヶ月、審査機関へ申請してから認証取得までが4ヶ月)
- 最短:6ヶ月(PMS構築を2ヶ月、審査機関へ申請してから認証取得までが4ヶ月)
です。審査の段階は形式審査、書類審査、本審査(現地審査)があり、合格であればJIPDECとのPマーク付与の契約を締結します。審査機関によっては申請から取得までを短縮できる場合がございます。
本社がバーチャルオフィスの場合、現地審査はどのように実施されるか
申請は、バーチャルオフィスであっても可能です。会社として実態があれば申請できます。 バーチャルオフィスであっても、会議室がレンタルできるのであれば、そこで審査はできます。 書類の保管場所は確認されるので、紙媒体で社長宅に保管しているのであれば、社長宅での審査が必要です(必ず紙媒体で保管しないといけないという訳ではない)
個人情報を取り扱う区域が明確になっているかは現地審査でチェックされるとのことだが、フルリモートワークの場合はどのような対応をすればよいか
現地審査時のトップインタビューで、人が入ってこない場所で取り扱っていることが説明できれば大丈夫です。
2年後の更新審査は何をするか
2年ごとの審査で見直すのは、基本的に「教育」と「監査」です。審査は2年ごとですが、指針にある通り、少なくとも年1回実施する必要があるため、記録としては2回分(2年分)必要です。
プライバシーマーク付与事業者検索に乗っている審査機関は直近のものか(更新タイミングで変更した場合は反映されているか)
最終の申請(新規・更新問わず)時の審査機関が表示されている 枝番は、審査を受けるたびに増えます。初回審査を受けると01、次の2年目の審査で02、... となります。
Pマークの現地審査でも紙資料の提出(出力)は必要か
現地審査の場合は、紙出力はマストではありません。
- プロジェクター、モニターへの投影で審査を行うことができる(PCの画面でも良い)
- 同意書や誓約書、契約書など紙ベースで誰かとやりとりするものはそのまま紙で管理して現地審査時に準備しておけば良い(書類審査ではそれらのフォーマット(雛形)を提出すればOK)
ただし、Pマーク審査の中で形式審査・文書審査があるので申請時には紙資料の提出は必要ではあります。
- 内部規程は全て印刷して提出する必要がある(文書審査で内容を見られる)
- 個人情報管理台帳、リスク分析表は最初の1枚だけ印刷して提出すればOK(全て印刷する必要なし)
- 中身は文書審査までの段階では見られない
- 現地審査でも全て見られるわけではい(審査の時間的に足りない)。会社の中で重要な業務何個か(例:採用業務、営業活動などなど)に関して業務フローなどを質問する中でどのような個人情報を洗い出しているのか、どのようなリスクを洗い出しているのか、どのようなリスク対応をしているのか、その記録はあるのかなどが聞かれる
- 教育や内部監査、マネジメントレビューの実施記録は紙資料で審査機関に提出する必要はないし、現地審査でも紙として出力する必要はない
- 審査機関が定めている提出書類に教育実施サマリー、内部監査実施サマリー、マネジメントレビュー実施サマリー的な名前の書類があり、それに必要な情報を埋めるだけで書類審査上は問題ない
文書の作成について
オフィスがバーチャルオフィスの場合、以下の書類は作成不要か
- かぎ管理台帳:不要
- かぎ貸与記録簿:不要
- 入退室管理簿:管理簿のテンプレだけ作っておいて中身はない状態にしておく
「PC / 外部記憶媒体 持出管理表」はフルリモート勤務(持出の概念がない)は作成不要か、それとも常時持ち出しとみなすのか
不要でOKです。
会社支給の媒体がない場合は「外部記憶媒体利用者一覧表」は作成不要か、それとも表自体は作成してブランクにするのか
不要でOKです。
「アカウント管理台帳」は必要か。必要な場合、どこまで細かいアカウント情報の洗い出しが必要か(社員が使っているクラウドサービス1つ1つのアカウントを全て記載する、など)
不要でOKです。
罰則の内容は就業規則に書く必要があるのか。 その場合Pマーク申請時の情報の提出方法はどうなるか。
就業規則がない場合は内部規程に明記する必要があります。就業規則に明記する場合は申請時に抜粋して添付してください。
ホームページの「個人情報の取り扱いについて」の個人情報の”利用目的”で書く個人情報は個人情報管理台帳に記載しているものをすべて書く必要があるのか?
全て書ききる必要はありません。 それぞれの書類に書く個人情報の粒度は以下のとおりです。
- 個人情報管理台帳:具体的な個人情報(社員情報 > 給与情報)
- 個人情報の取り扱いについて:大きな括りでの個人情報
個人情報保護方針について
個人情報保護方針の「お問い合わせ窓口」のTEL、E-mailは会社代表のもので良いか。(会社代表=個人情報保護担当でOKか)
OKです(中小企業で担当を分けることができないとこも結構あるので問題ない)
個人情報洗い出しについて
PCのセットアップ情報の各種設定一覧(ID利用者、PC利用者、アクセス権、媒体利用者、携帯利用者)はどういう観点で「個人情報」と言えるのか
「個人情報管理台帳」の各項目は「プライバシーに関わるかどうか」の観点で見ます。最近だと、社員制約書、社員同意書、教育記録、入退室記録は列挙されていないと指摘されることが多いです。
一方で、以下は列挙不要です(業務で必要になるだけでプライバシーに関わらないから)
- 各種申請書・届出(事務用品・切手払い出し票、勤怠届)
- 業務管理関係文書(行動予定表、売上計画・進捗表等)
- 業務管理関係文書(行動予定表、売上計画・進捗表等)の印刷物
- ID発行申請書(異動、廃棄含む)
個人情報、個人データ、保有個人データの違いを改めて知りたい
- 【個人情報】
- 体系的にまとめていない個人情報(その辺に置かれている名刺とか)
- 【個人データ】
- 体系的にまとめて検索とかができる状態のもの(エクセルやツールにまとめた時点で個人データになる、名刺ホルダーに名刺をまとめたのも個人データ)
- 【保有個人データ】
- 個人データの内、受託している個人データのように事業者が開示できるかどうか判断できないもの(個人データ)
- 委託せず自社で保有している個人データはすべて保有個人データ
- 委託されているかどうかが大きい判断基準
個人情報管理台帳でアクセス権を複数部署・役職が有する場合は、全てを書く必要があるのか。それともメインで使用する部署や役職のみ書いても問題ないのか
関連部門が多い場合は、全て部門名で記載せず、採用チーム、プロジェクト関係者とかでも問題ありません。
要配慮個人情報は一般的な企業だとどのようなものがあるか。健康診断結果以外にあるか
以下が該当します。
- 長期欠勤や休職の際に提出する診断書
- ストレスチェックの診断結果
- 障害者手帳(障害者雇用をしているところ)
名刺入れに入っている名刺は個人情報データベースに該当するか
自分の名刺入れに名刺を入れて他人が自由に見れる状態になっていても他人が容易に検索できない独自の分類方法によって分類している場合は「個人情報データベース等」には該当しません。ただし、名刺管理サービスを使ったりして、他人が容易に検索できる形になっている場合は該当します。
「株主の情報」は必要か
数名くらいだったら記載しなくても問題ありません(知り合いが何人か株を持っているとかも)。資金調達している場合もVC(法人)であれば不要です(ただし個人株主の場合もある)。上場している会社だと記載が必要です。
リスクアセスメントについて
どれくらいの基準(発生可能性・影響度)を残留リスクとみなすかのボーダーに設定する。リスクレベルで一定数字以上だったら残留リスク、みたいな感じにできるのか
ボーダーは設定しないでOKです。
- 本来はしないといけないけど、金銭的な理由で実行できない場合
- 本来しないといけないことを100として、50くらいの対策しかできない場合 などに残留リスクとして管理する
が、残留リスクとして管理するかどうかは事業者に委ねられます(審査で「さすがにこれは残留リスクとして管理しておいた方が良い」という指摘はあるかもしれない)。リスク分析表の追加対策の優先度(高・中・低)も自社で決めてOKです。
現行のリスク対策だけでOKとみなす場合は、実行計画は立てなくてOKか
OKです。ただし、1年に1回は内容を見直す必要はあります。見直した結果「今のリスク対策を継続する」か「新しいリスク対策を講じる」かを決めるいきましょう。
住所を取得・入力する際のリスクとして「意図せず本籍地(機微情報)を取得する」は必要か
本人が誤って入力してしまう場合については考慮不要です。その他、本人の誤入力のリスクも考慮不要です。
個人情報の取り扱いについて
開示請求等の請求は紙ベースにするべきか。Webフォームでもいいか。
Webフォームでも問題ありません。本人確認資料は免許証などの写真を添付して貰えば問題ないです。請求票をエクセルファイル等で準備するのはマストではありません。
開示請求等の手数料について「本人からの請求などに応じる場合に、手数料を徴収するときは、実費を勘案して合理的であると認められる範囲内において、その額を定めること。」とあるが、具体的にいくらまでは許容されるのか。
設定で多いのは1,000円です。実費で計算する会社もあります。
※実費とは、企業から送られたエクセス形式の請求用ファイルを印刷する代金、それを郵送する代金などを考慮して厳密な金額を設定する会社もある
過去書面による本人同意を取得していないものがある場合の対処はどうすればいいか
以下の折衷案を講じて、ここまでやっていますという説明ができれば審査的には問題ない場合があります。
- Webフォーム等に同意を得る内容を掲示する
- メールを送れる場合は同意を得るべき内容を通知する
- 従業者に関しては同意書を取る