コンサルをおこなっていると、審査機関の傾向、癖についてある程度情報が集まってきます。関係する顧問先が多い下記のプライバシーマーク審査機関については、適宜情報を収集し、顧問先に提供しています。
・日本情報経済社会推進協会(JIPDEC)
・日本データ通信協会(デ協、JADAC)
・日本情報システム・ユーザ協会(JUAS)
・医療情報システム開発センター(MEDIS)
・関西情報センター(KIIS)
どこが良い、どこが悪いということはありませんが、審査傾向を把握した上で、自社に合った審査機関を選定することが重要となります。以下に選定の際に参考になる情報を記載させて頂きます。
<日本情報経済社会推進協会(JIPDEC)>
首都圏の事業者の多くがJIPDECで審査を受けているようです。プライバシーマークの元締め的存在でもあるため、シェアはNO1、登録審査員の数もNO1です。デメリットを挙げるとすれば、審査員の数が多いため、審査の品質にバラつきが発生しやすいという点です(ただし、ここ最近は改善が進んでいるようです)。
JIPDECの審査は、良くも悪くも、厳格に行われる傾向があると理解しています。そのため他の審査機関と比較すると指摘事項の数は多い傾向もあります。多くの事業者はこの点をデメリットと感じることでしょう。しかし、この点がプラスに作用することも実は多いのです。300社の顧問先がプライバシーマーク取得後、どうなったのか、モニタリングしてみました。意外なことに、運用レベルを維持できているのが、JIPDECで審査を受けた事業者だったのです。理由は審査機関との緊張関係が維持されやすいことだと思います。
最大規模の審査機関であることの安心感とPMS運用の継続性を考えるとJIPDECは非常に良い審査機関だと考えます。
<日本データ通信協会(デ協、JADAC)>
情報発信が最も多い審査機関、コミュニケーションが取りやすい審査機関として知られています。審査員同士の交流も多いようで、比較的審査の質も確保されています。事業者の規模や個人情報の量に応じて、アサインする審査員を決定しているようで、納得感のある審査結果を得ることができます。
審査を受けるには、日本データ通信協会に入会する必要がありますが、プライバシーマークの審査を受けることで、入会金、会費が免除となります。
<日本情報システム・ユーザ協会(JUAS)>
事務方がテキパキと動いてくれるので、審査日程の調整等をスムーズに進めることができます。審査員の数もそれ程多くないため、審査の質も均一化され、何をどこまで対応すれば審査をクリアできるのかを読みやすい審査機関ともいえます。事業者向けのセミナー、イベントも定期的に開催されており、これらに参加するメリットも大きいです。
審査を受けるには、日本情報システム・ユーザ協会に入会する必要があり、入会金、年会費が発生します。
<医療情報システム開発センター(MEDIS)>
医療事業者向けの審査機関です。いわゆる「MEDISガイドライン」が審査基準となりますので、他の審査機関と比べるとハードルが高いのが特徴です。医療情報システムに関するネットワーク制御、厳格かつ具体的なパスワードポリシーの要求などが、厳しい点として挙げられます。
MEDISの審査員は精鋭部隊のためか、審査スキルが高い傾向があります。短時間の審査でかなり突っ込んだ指摘をしてきます。MEDISで審査を受ける場合には、コンサル選定が非常に重要となります。経験がないコンサルタントは対応不能だと考えて下さい。
<関西情報センター(KIIS)>
関西圏の事業者の多くはKIISで審査を受けることになります。申請書類の提出方法がJIPDEC等の他の審査機関と異なることに注意が必要です。また、ベテランの審査員が多いためか、突っ込みが鋭く、指摘事項が多くなる傾向があります。
色々な審査機関を見る中で、「甘い」審査機関というものはないと思います。「ダメな」審査機関もありません。審査結果に関係するのは、審査員の力量や事業者との相性ではないでしょうか。どの審査機関にも経験を積んだ審査員も、そうでない審査員もいます。
どの審査機関が「甘い」とか「楽だ」と言って薦めようとするコンサルタントが多いと聞きます。そんな審査機関は存在しませんし、仮に「甘い」審査が存在したとしても事業者のためになりません。当社は審査機関の皆さんと適切な緊張感を持ちながら、共にプライバシーマーク制度を良くしていきたいと考えています。
<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ