Pマーク構築・運用指針改定シリーズ:第2弾

Pマーク構築・運用指針改定シリーズ:第2弾

1.2月27日に「第2回Pマーク構築・運用指針改定セミナー」を開催いたしました

昨年12月25日にJIPDECから公表された「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針【JIS Q 15001:2023準拠 ver1.0】」(以下、「改定指針」)について、1月~3月に3回に分けて解説するセミナーの第2回目でした。今回はMS(マネジメントシステム)部分を中心にお話しました。

MS部分は、現行指針(2022 年 4 月 28 日改訂)では「トップインタビューにおけるヒアリング項目」となっていた部分が、文書審査や現地審査でどのようなエビデンスを要求されるのかが最大の焦点です。この点については、JIPDECで2024年2月29日に事業者向けガイドブックの発行、2024年2月~3月に事業者向け指針解説ウェビナー・動画配信とニュースリリース※1が出されています。

ガイドブック※2に上記のエビデンスについての記述があると思われますので、こちらは購入することをお勧めします。

※1 制度関連のNEWS|構築・運用指針の改定について|プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC) (privacymark.jp)

※2 JIS Q 15001:2023 個人情報保護マネジメントシステム―要求事項 | 日本規格協会 JSA Group Webdesk

2.SWOT分析を活用する

トップインタビューのヒアリング項目の中でも、改定指針のJ.1.1、J.1.2、J.3.1.2は関連する内容なので、SWOT分析による要点整理の事例をご紹介しました。ポイントは、利害関係者(主に顧客)のニーズや期待に応えるには、そうした機会(opportunity)を適時に捉え、自社の強み(strength)を生かす戦略を策定する。他方、外部の課題である脅威(threat)や内部の課題である弱み(weakness)についてリスクコントロールし、個人情報保護目的(意図した成果)を達成するというイメージです。

トップインタビューでも人によっては、そうしたことを説明している経営者の方もいらっしゃるかと思います。このような事例でまとめた根拠は、J.2.1のトップマネジメントの責任として、a)に「事業者の      戦略的な方向性と両立した、個人情報保護方針及び個人情報保護目的を確立する」とある点です。

個人情報保護法の目的は、事業者の個人情報の有用性に配慮しつつ、個人の権利利益を保護することにあります。個人情報の有用性とは、事業の目的達成である戦略の方向性と関連しますし、個人の権利利益の保護のためには、リスクを適切にコントロールできていなければなりません。その意味で、後者のリスクコントロールは、次回のセミナーでお話するP部分の管理策の適切性や妥当性が問われるという点とつながります。

3.改定指針への対応について

改定指針が適用されるのは、10月1日以降の審査からです。気になる改定対応については、次の3パターンが考えられます。

申請期間が9月30日までの事業者

現行指針での審査となります。もっとも申請してから現地審査までには2か月~3か月(審査の込み具合や審査機関の事情によって4か月以上のケースも稀にあります)かかるので、8月とか9月に申請した場合、現地審査は10月1日以降となる可能性が高いです。その場合、改定指針への対応状況を聴かれる可能性はありますが、何もしていなかったとしても不適合にはならない筈です。継続的改善事項として、次回の審査でチェックするとのコメントは書かれるかもしれません。

申請期間が10月1日を跨ぐ事業者

申請期限が10月初旬の場合、期限ぎりぎりで提出すると新しい申請様式でないと受理されません。そのため9月中に提出予定で準備していたにもかかわらず、10月に申請がずれ込む場合は申請書の作り直しとなりかねません。ですから、現行指針で審査を受けると決めたならば、申請期限を厳守する必要があります。

申請期間が10月1日以降の事業者

申請期限が最短でも2025年1月31日なので今年中に文書改訂等、必要と思われる対応をしておけばよいので少し余裕があります。申請期間が来年の事業者は、改定指針での審査傾向についての情報を得られる可能性があるので、さらに余裕をもって対応できます。

また①の事業者は、さらに余裕をもって対応できます。ちなみに弊社は①に該当するので4月から6月くらいの間でJIPDECの審査を受ける予定です。改定指針についても審査員とコミュニケーション(J.4.4.1)をとって、情報収集する予定です。

今一度、自社の申請期間が3パターンのうち、どの事業者に該当するか確認しましょう。

4.力量向上のポイント

今回のセミナーでは、「審査員と対話ができる力量を身につけて、楽しいPMS運用を目指しましょう」と提案しました。審査がコワイとか、審査がイヤだとかいう感情が沸き起こるのは、Pマーク制度をきちんと理解していない未知に対する不安や審査員のコメントや不適合の評価に対する嫌悪感によるものです。

したがって、これらを払拭するには、皆さんのPMSに関する力量を向上するのが効果的です。誰しも人の評価を気にしますが、評価されることにあまり良い感情を持つことは稀です(学校の成績、人事評価など)。その逆に自ら目標を達成して、自分を褒めてあげるような時はいい気分になる筈です。

ですから自ら力量評価しましょう。最終の目標設定は「楽しいPMS」ですが、いきなり高みを目指しても挫折します。なので、次のようなステップで力量向上目標を立ててみてください。

  • 文書化要求事項について語れるようになる
  • JIS規格や改訂指針を理解している
  • 審査員と対話できる
  • 更新審査で指摘ゼロ
  • 楽しいPMS

力量1については、このセミナーである程度、語れるようになると思います。さらに力量を確実にするには、前述のガイドブックを読みこなせば、力量2までは到達できます。

力量3は、コミュニケーション力を向上させる必要があります。人により対人コミュニケーションについて得手・不得手の差はあると思いますが、コミュニケーションの仕組みを理解していると、不得手の方も自信をもって審査員と対話できるようになります。

コミュニケーションについては、様々な研究成果やスキル等があります。ここではPMS審査におけるコミュニケーションという点でご説明しますと、ポイントは以下のようになります。

 第一に審査員と共通言語を共有することです。新規取得の際、審査員の言っている意味がわからないという経験をした方もいらっしゃると思います。これは、審査員の発する言葉が、専門用語が多いからです。専門用語は、改定指針に書いてあるようなことです。ですから、まずはこの共通言語をマスターすれば、恐怖感や嫌悪感をかなり低減できます。

その一方で、改定指針に基づいて自社のPMSが適切かつ妥当に運用されているかを審査員はチェックしに来ているので、自社のPMS運用についてキチンと説明ができる、文書類が整備されている、記録類に誤りがなければ、不適合は出ないのです。まさに力量4の領域です。

そして指摘ゼロを経験すると、自身の目標達成ですから、自ずと「楽しいPMS」になるはずです。なぜなら、指摘ゼロのノウハウが身に着いたということは、次回以降の審査対応が「楽」になるからです。

「楽しむ=楽をする」と考えて、改定指針の理解力を深めてください。

Pマーク雑学

<おまけその1>審査機関の審査シェア

こちらは余談ですが、今回のセミナーにあたり、私自身の興味から審査機関の審査シェアを調べてみました。JIPDECのホームページによると、2月27日時点でPマーク付与事業者は、17,603社でした(日々変動しています)。そのうち、20ある審査機関のうち、どのくらいの事業者を審査しているかを調べた結果が、以下の通りです。

1位:JIPDEC 5,342社(30.3%)

2位:JUAS  4,101社(23.3%)

3位:KIIS   1,773社(10.1%)

4位:デ協   1,463社(8.3%)

5位:中産連  1,061社(6.0%)

ちなみに6位以下は1,000社未満です。

JIPDECがトップなのは当然と言えば当然ですね。3割のシェアです。2位がJUASです。弊社もお客様から審査機関の相談を受ける際、候補の一つとしてご案内しています。4位のデ協も業種に制限はありますが、よくご紹介しています。この都内の審査機関だけで6割のシェアです。

3位のKIISは関西方面の事業者向け、5位の中産連は名古屋など中部方面の事業者向けの審査機関ですから、三大都市圏で8割近いシェアとなっています。いわゆる「ニッパチの法則」ですね。

弊社がご支援しているお客様の多くも1位から4位までの審査機関で受審しています。これ以外の審査機関の受審事業者もご支援しておりますが、若干、審査機関による癖みないたものがあります。そうした点も踏まえて、一番標準的なところで落ち着くようにPMS文書類を整備しております。

また改定指針による審査結果が見えてくると、PMS文書類の微修正等を行いながら、文書審査で不適合が出ないように精度をあげております。なので、文書改訂支援等、安心してお任せください。

<おまけその2>コミュニケーションとは何か

今回のセミナーの内容が濃かったのと沢山のご質問をいただけた為、時間がオーバーしてしまいご紹介しきれなかったおまけネタのご紹介です。

ケーススタディとして、「コミュニケーションとは何か?」という以下の内容をご用意しておりました。

「コミュニケーションとは何ですか?」と聴くと、多くは「情報伝達」と答えます。 

 では、次の事例でこの定義が正しいか検証してみましょう。

ケーススタディ

 あなたは電車に乗っています。お気に入りの小説を座席で読んでいます。物語が架橋に差し掛かり少し興奮気味のあなた。その時、隣に座っている若い女性に抱かれていた赤ん坊が泣き出しました。耳を劈くような泣き声に、あなたは急に現実に引き戻され、小説を読むどころではありません。

 すると、向かいに座っていた中年女性が「あらあら、どうしたの?」と若い女性と赤ん坊に笑顔で 話しかけてきました。

 もし、「コミュニケーションとは情報伝達である」と定義するならば…。

 赤ん坊は「読書を邪魔するぞ 」とあなたに伝えたいのでしょうか?

 それとも「構ってくれ」と中年女性に伝えたいのでしょうか?

 皆さんなら「コミュニケーションとは」、何と説明しますか?

 ⇒そもそもケーススタディの前提が、おかしくはないのか?

さてさて、このケースをご覧になって、「コミュニケーションとは」、何だと説明しますか?

どうやら「情報伝達」ではなさそうですね。

/