■経営お役立ち情報 ビジネスヒント情報―――――――――――――――――――■
2012年1月 「プライバシーマーク審査へのつぶやき」
中小企業診断士 椎木 忠行
メールはtd-siiki@periodique-jp.comまで願います。
■――――――――――――――――――――――― NPOみなと経営支援協会−■
プライバシーマーク(以下「Pマーク」とします)認定取得について、お話したいと思います。
このコンサルティング支援に携わって、もうかれこれ6〜7年になります。
コンサルティングした企業は70〜80社以上になるかと思います。Pマーク規格であるJISQ15001も、1999年版以降現在の2006年版まで関与しています。
また、審査機関に登録してPマーク審査員として、20社以上、審査を担当してまいりました。こちらの方は、まだ日が浅い状況ですが、このコンサルティング活動と審査活動の両面を通し、Pマーク審査について、述べて見たいと思います。
●審査員によって、何故審査レベルに違いがあるのか?
これは、企業側から良く聞かれる言葉です。
もともと審査は、原則として「個人情報保護マネジメントシステム実施のためのガイドライン(第2版)」をベースに、審査を行っています。
しかし、審査員の今までの経験、すなわち、Pマーク審査員の経験の豊富な人、ISO9001やISO14001の審査に携わってきた人、ISMS審査に携わってきた人、IT関連の業務に長年従事していた人、受審側の企業でPマーク運営業務に携わってきた人、また、私のようにPマークのコンサルティング業務に携わってきた人・・・、により審査での発言や指摘事項等に違いが出てきます。
Pマークは、1999年にJISQ15001の1999年版が策定され、その後、個人情報保護法の施行、保護法に対応するガイドラインの経済産業省等での発表等により、保護法やガイドラインでの内容を大幅に取り入れられた現在の2006年版の規格が完成しました。
保護法が成立したためか、また、経済産業省もPマークを推奨したためか、Pマークの需要が大幅に伸び供給が追い付かなくなり、急きょ、審査員を大幅に、即席(?)に増員したという経緯があります。
これらのためか、審査機関で先ほど述べましたガイドラインを作成して、大筋ではほぼ同じ審査を行っていますが、審査員で異なる審査レベルになるのかと思われます。
これらの現象は、今後もすぐには同一審査レベルにはなりそうもないし、それよりも審査(新規・更新)毎にレベルアップを図ろうと取り組むことのほうが良いか思われます。
実際、長年、新規審査結果、更新結果を見てますと、認定されている企業は、それなりに一定のレベルアップを図っていることは間違いないと思われます。
●どのように、Pマークを運営し、また、審査に臨むのか?
多くの企業に対して、Pマーク取得の動機を尋ねると、取引先からの要求のためというのが圧倒的です。Pマークを取得しないと、仕事を出さない・・・と言うのがほとんどです。
しかし、Pマークを取得するのは、結構、ヒト・モノ・カネがかかるものです。
せっかく多くの経営資源を費やすのですから、Pマーク取得のためだけでなく、これを機に、自社の業務の見直しや資産の見直しなどもすることも良いのではないかと思います。
私がコサンルでよく言うのは、三段階方式として、
@どの審査員も必ず言ってくること・指摘してくること、
APマークの審査項目に入っているか否かを問わず自社の業務においてどうしても抑えておか
なければならない事項、実施しておきたい事項、
B審査員によって言ってきたり指摘してきたり、あるいは言われない指摘されないする事項
の3つに先ず分けます。
そして、前者の@とAは必ず実施します。Bについては、謂わばグレーゾーンとして審査員に言われ指摘された時点で対応するか、あるいは、適時対応しておく、ということです。
●審査について
実際に審査をして一番思うのは、当初のコンサルタントによって、その企業のPマークの運用や審査が大きく影響されているということです。
無駄と思える記録を付けていたり、マネジメントシステムを行う上で必ず必要と思う記録を付けていなかったりしています。また、明らかに不要と思われる内容を規定している場面も見受けられます。もっと、スリムな規程にすればいいのに・・・などと思うことがしばしばあります。
やはり、実際にPマークを運用している中で、もっと効果的に、効率的にできないかを常日頃考えて、規程・様式や運用の見直しを行うことが大事かと思います。
所謂、確実なるPDCAの実施です。
審査員の言い方として、「・・・これは指摘にはしないが、・・・改善しておいてください」の場合があります。
これは、次回の更新審査時において指摘事項として扱われるケースが高いので、改善しておいたほうが良いでしょう。更新審査回数が、3回、4回と回を重ねているのに、あまりにも低レベルというのは、正直なところ、情けない気がしてなりません。
Pマークの規格であるJISQ15001の見直しは、原則として5年毎に行います。前回が2006年ですので、本来なら2011年に改訂があるはずでしたが、「解説」の見直し程度で実質的には改訂がありませんでした。次回の見直しは、2016年で大幅な内容かもしれません・
中小企業診断士 椎木 忠行
メールはtd-siiki@periodique-jp.comまで願います。
■―――――――――――――――――-―― NPOみなと経営支援協会−201201―■