この記事では、Pマーク審査における現地審査でのトップインタビュー以外のヒアリングについて概要と準備しておくべき内容を記載しています。
ヒアリングにはPMSの運用状況を説明できる人(安全管理措置の実施状況も含む)、及び個人情報を取り扱う主要業務について説明できる人が対応する必要があります。
ヒアリング同席が必要な方
- 個人情報保護管理者(+必要があればその他PMS担当者)
- 個人情報を取り扱う業務担当者(個人情報保護管理者が業務の説明ができれば業務担当者の同席は不要)
- システム管理者(安全管理措置についてネットワークやアクセス権等のシステム的な対策について個人情報保護管理者が説明できれば同席不要)
- 個人情報監査責任者(内部監査の確認時のみの同席で可)
ヒアリング・サイトツアーの概要
以下の次項を確認されることが一般的です。
- 事業概要・組織体系
- 主要業務における個人情報の取扱状況確認・質疑
- ネットワーク・サーバ室の状況の確認・質疑
- 文書審査結果に対する改善の確認
- PMS運用状況の確認・質疑
- 建物・執務室等の状況の質疑および安全管理措置に係る社内現場の確認(サイトツアー)
事業概要・組織体系
事業概要と組織体系を説明します。組織体制図(部門ごとの概算人数がわかるような概要)を用意しておくと説明がスムーズです。
主要業務における個人情報の取扱状況確認・質疑
主要な業務における個人情報取扱について、個人情報取扱いの各局面(取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄等)における流れを説明します。
どのような個人情報を取り扱っており、その情報はどのような経路で入手し、管理・利用し、廃棄しているのか、委託や提供があるか、など実際の業務上のフローを整理しておきましょう。また、そのフローの中でどのようなリスクを想定し、どのような安全管理措置(リスク対応)をとっているのかも説明する必要があります。技術的対策についても確認される可能性がありますので、必要に応じてシステム管理者にも同席してもらうと良いかもしれません。
- 自社が取り扱っている個人情報の種類、及び管理方法は、SecureNaviでは「社内ルール・文書」>「文書」の「個人情報管理基準一覧表」「個人情報管理台帳」に洗い出しをしています。詳細はこちらを参照してください。
- 対象の個人情報がどのような資産の局面を経験し、その中でどのようなリスクがありどのようなリスク対応をとっているかは、SecureNaviでは「社内ルール・文書」>「文書」の「PMSリスク分析表」に洗い出しをしています。詳細はこちらを参照して下さい。
また、自社で採用したリスク対応が、個人情報保護法上で定められた安全管理措置のどのカテゴリに該当しているかは「社内ルール・文書」-「安全管理措置」にてマッピングしています。 - リスク対応(安全管理措置)の実施状況について、具体的にどのように行っているかを確認される場合があります。安全管理措置の画面にて、それぞれのリスク対応について自社で具体的にどのような対応となっているか説明できるよう、改めて確認しておきましょう。
ネットワーク・サーバ室の状況の確認・質疑
ネットワークやサーバ、利用しているクラウドサービス等に対するシステム的なリスク対応についての確認です。必要があればシステム管理者に同席を依頼しましょう。
個人情報の保管場所である機器やサービス、利用経路となっているネットワークについて特に安全管理措置の「技術的管理措置」の具体的な実装状況を説明できるようにしておきましょう。
- 技術的安全管理措置は「社内ルール・文書」>「安全管理措置」の「技術的安全管理措置」に記載があります。資産それぞれに対してどのような対応をしているか確認しておきましょう。
文書審査結果に対する改善の確認
文書審査の結果、「不適合」(×)や「誤謬があり、適合していると判断できない」(△)などコメントがあった内容についての確認です。
文書審査の指摘事項への対応については、審査報告が届き次第、SecureNaviのサポートをご活用いただきつつ、審査員の方とも修正方針・指摘意図のすり合わせを行い、現地審査の事前に修正方針を確定させておきましょう。
指摘修正前後の規程、及び関連する規程類を用意しておくとスムーズです。
- 不適合と判断された箇所について、どのように修正したかの報告が必要です。
- (文書審査時に提出不要だった記録の中に規定されている場合)追加の記録を見せて説明します。
- 質疑の結果、さらに修正が必要な場合は改めて指摘事項となります。どのように修正すべきなのか、指摘意図と方針をこのタイミングでしっかり確認しておきましょう。
PMS運用状況の確認・質疑
「PMS基本規程」、「PMS個人情報保護規程」に従ってPMSに基づく運用が行われているか、記録類と合わせて確認されます。改めて、「PMS基本規程」と「PMS個人情報保護規程(特にこちら)」を確認し、実際にどのように実施しているかを説明できるようにしておきましょう。
内部監査の状況についても運用状況の確認の中でヒアリングされるため、内部監査部分については個人情報監査責任者に同席を依頼しましょう。
- 「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針 」(Pマーク審査基準)の要求事項について、自社の「PMS基本規程」及び「PMS個人情報保護規程」のどこに規程されているかは「設定・参考情報」>「参考情報-PMS構築・運用指針との対応」に記載があります。
また、SecureNavi上で記録を管理している場合、同ページ内に該当機能へのリンクもあります。迷ったらこのページを開きましょう。 - SecureNaviを利用してPMSを構築する場合、規程類の建付けは以下のようになります。
PMS基本規程
「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針 」の要求事項を自社規程に取り込んだもの(上位) PMS個人情報保護規程 「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針 」にて具体的に手順への落とし込みを求められている項目についての手順を規程したもの(下位)
- 「PMS個人情報保護規程」内から「就業規則」や「同意書」などSecureNavi外部で管理するものも含む規則、記録への参照があります。規程内で利用することとなっている規則・記録について、提示が求められる可能性がありますので用意しておきましょう。(画面投影でも紙印刷でも問題ないはずですが、念のため事前準備については審査機関にご確認ください。)同意書や契約書、誓約書など全体数が多いものについては、全ケースで取得されているかの確認は口頭で行われ、実際の記録はサンプリングで確認されることが多いようです。
建物・執務室等の状況の質疑および安全管理措置に係る社内現場の確認(サイトツアー)
サーバ、ネットワークなどを有する高セキュリティエリアや、個人情報を取り扱う執務エリアについて、安全管理措置の「物理的安全管理措置」>「個人データを取り扱う区画の管理」状況のチェックを行うことが主目的です。
サイトツアーにあたってはオフィスのフロア図(セキュリティレベルごとに区分けしたもの)を用意しましょう。
- リスク対応(安全管理措置)の実施状況について、特に「物理的安全管理措置」>「個人データを取り扱う区画の管理」について実物の確認が行われます。安全管理措置の画面にて、それぞれのリスク対応について自社で具体的にどのような対応となっているか説明できるよう、改めて確認しておきましょう。