今回は、これからプライバシーマークを取得しようと考えている企業向けのお話になります。
プライバシーマーク取得プロジェクト、どれくらい期間がかかってどのようなリソースが必要なのでしょうか。
<期間と工程>
標準的な期間としては1年間を見るとよいでしょう。コンサルティング会社を利用することで最短6ヶ月まで短縮することはできますが、期間が短ければ良いというわけではありません。
工程別の期間は下記の通りです。
1)現状調査(1ヶ月~2ヶ月)
個人情報の発生状況、データフロー、情報システムの状況について調査をおこないます。プライバシーマークの要求事項である、「個人情報の特定」と「リスク分析」に絡めると作業の二重化が発生しないため効率的です。審査基準を把握したアセッサー(社員でも外部コンサルタントでも可)を利用して、Fit-Gap分析をおこない、審査に合格するために何が足りないのかを早めに洗い出しておくと良いです。
2)PMS構築(1ヶ月~3ヶ月)
プライバシーマークの要求事項を網羅したPMS文書を構築します。まずは土台となる文書を作成または入手し、これをベースに社内実態に合わせたルールのカスタマイズをおこなっていきます。ある程度完成したところで、関係者に周知して、問題がないか等の意見を集めます。意見を反映させた上で、社内承認の手続きに入ります。文書を作成する上で、スタンダード層またはプロシージャ層までは汎用性や審査基準を意識した内容にするのが賢明です。実運用については、マニュアル層で拾っていくのが良いでしょう。
3)教育~試運用(1ヶ月~2ヶ月)
教育を通じて、PMSを全社的に展開し、試運用をスタートさせます。監査が実施可能なレベルまで運用精度を高めるには最低1ヶ月は試運用期間が必要だと考えましょう。また、この期間で発生した運用上の課題をベースに、必要に応じてPMS文書のトリミングをおこないます。
4)監査~申請(1ヶ月)
内部監査を実施しながら、並行して申請の準備をおこないます。監査結果が固まったらマネジメントレビューを実施、ここまでくれば申請が可能となります。
5)審査までの待機期間(1ヶ月~2ヶ月)
審査機関や審査時期によって異なりますが、申請してから審査まで、1ヶ月~2ヶ月の待機期間が発生します。この間に、文書審査の対応をおこないつつ、審査に向けた最終仕上げをおこないます。コンサルティング会社の協力が仰げる場合は、模擬審査を実施するのが効果的です。
6)審査~認定(1ヶ月~6ヶ月)
現地審査が終了すると、審査後1週間で、指摘事項が書面で送付されます。指摘事項の対応をおこない、対応のエビデンスとなる書類を3ヶ月以内に審査機関に提出することとなります。(再審査となるケースは極めて稀です)
提出した書類を審査員が問題ないと判断すれば、その時点で内定。審査会を経て正式にプライバシーマークが付与されます。指摘事項の数にもよりますが、認定まで、最短で1ヶ月、長い場合は半年かかることもあります。
<プロジェクトチーム>
会社の規模によって異なりますが、下記のような体制を組めばスムーズに進めることができます。
・プロジェクトオーナー
PMS構築後は個人情報保護管理者となります。管理系部門の部門長もしくは担当役員の方が適任です。経営層や現場を動かしていくには、それなりの知見、権限を有したかたがベターです。
・プロジェクト事務局
文書管理、社内周知などが主なタスクとなります。管理系部門の担当者がアサインされるケースが多いです。コンサルティング会社を利用する場合は、コンサルタントとの会議運営等もおこなうこととなります。
・IT担当者
アカウント発行・抹消のワークフローの構築やセキュリティポリシーの見直しなど、プライバシーマークの要求事項にはIT対応が必要なものが多いです。そのため、IT担当者を巻き込むと対応がスムーズに進みます。
・総務/人事担当者
入退室管理、ファシリティーの整備においては総務担当者、社員や採用応募者からの同意書の取得は人事担当者という形で、スポットで協力が必要となります。
・部門担当者
中規模以上の企業の場合は、現場側のキーマンをプロジェクトにアサインするのが良いと考えます。現場の実態を把握し、現場に無理のない形でルールを導入させる。また現場の協力を得るためにも、現場サイドのメンバーを巻き込むメリットは非常に大きいです。
<コンサルタントの利用>
頭脳として利用するケース、手足として利用するケースがあるかと思います。
最近では雛形を安価に提供して、運用の代行までおこなってくれるコンサル会社もあります。この場合は手足として利用する形でしょう。内製する場合に発生する人件費やプロジェクト遅延のリスクとコンサルティング会社に支払う費用を比較して、利用の要否を決定するのが良いです。ただし、雛形の提供を受けること、運用の代行を依頼することには、大きな副作用もあるため、注意が必要です。
大企業においては、コンサルタントは頭脳として活用するのが良いと思います。様々な業種、規模のクライアントへの支援経験から、必要な知見を得ることができます。審査事例、他社事例、法規制等の動向を把握したコンサルタントに依頼できれば、費用対効果は非常に高いものとなります。
<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ