審査の種類
- 初回審査(新規申請)
Pマークを取得していない組織が認証を新規取得するために受審する審査です。形式審査・文書審査、現地審査を経て、Pマーク付与が決定されます。付与機関であるJIPDECと「Pマーク付与契約」を取り交わすと「Pマーク」取得事業者として、Pマークを使用できるようになります。
- 更新審査(更新申請)
Pマークを取得した組織が、2年に1度、定期的に受審する審査です。初回審査と同様、形式審査・文書審査、現地審査を経て更新可否が判断されます。プライバシーマーク付与契約の満了の8~4か月前の日付までに申請が必要です。
また、定期的ではなく、臨時で受審する審査として、事業の拡大、縮小や移転、事業承継や事業分割に伴う現地審査が行われる場合があります。臨時審査が必要となるかは、変更のレベル感や次回更新までの期間に応じて判断となりますので、審査機関にご相談ください。
- 参考情報:プライバシーマーク制度運営要領体系
- プライバシーマーク制度における確認審査の実施基準(PMK240)
- プライバシーマーク付与に関する規約(PMK500)
- 合併・分社等に伴うプライバシーマーク付与の地位の継続に関する手順(PMK520)
審査の目的・観点
審査員は、どのような観点から審査を行うのでしょうか?大きく分けて2つの観点があります。
-
適合性
- 構築・運用しているPMS(プライバシーマネジメントシステム)が、JIS Q15001および審査機関が定める法令等を踏まえて作成された、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に適合していること
-
有効性
- 構築・運用しているPMSや、個人情報保護に対する取り組みが、有効に機能している(情報セキュリティインシデントの削減や、セキュリティレベルの向上などに、適切に寄与している)こと
審査の指摘事項
Pマークでは「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」と照らし合わせて「適合」か「不適合」かのどちらかで判断されます。不適合の是正が完了するまで、Pマークの付与を受けることはできません。
「不適合」の指摘がある場合には、3か月以内に改善報告が必要です。
また、その後に「再指摘事項」がある場合、1か月以内に改善報告が必要です。
審査に対する心構え
指摘事項があることは当たり前であることを意識する
Pマークを取得して10年以上運用している会社でも、審査において指摘事項は発見されます。審査においては、必ず何らかの指摘が出ると考えてください。
とくに、初回審査においては、1回の審査で、10〜20個の指摘がでることも良くあります。仮に不適合の指摘があったとしても、所定の手続きに従って、それらを改善すればPマークは取得できますので、指摘を過度に恐れないようにすることが重要です。
「せっかくお金を払って、セキュリティのプロに審査をしてもらっているのだから、いっぱい指摘をしてもらい、セキュリティの粗をなるべく洗い出そう!」くらいの心持ちで審査に挑めるのがベストです!
嘘をつかない・正直に回答する
実施していないことを「実施している」と回答したり、記録を偽装して作成する必要はありません。前述の通り、指摘事項が出ても改善を行えば、Pマーク取得ができなくなることはありませんので、できていないことは正直に「できていません」と申告・報告してください。
指摘事項への対応は、お気軽にSecureNaviまでご相談を
審査を終えると、審査報告書が渡されますが、そこに記載された指摘に対して、どう対応すればよいか分からないこともあるでしょう。困ったときは、お気軽にチャットサポートもしくは定期的なお打ち合わせの場で、SecureNaviスタッフにお問い合わせください。一緒になって対応方法について考えていきます。