プライバシーマークの現地審査について
プライバシーマークの現地審査を間近に控えています。
現地審査では、どのようなことが聞かれるのでしょうか?
また、参考になるような資料などはないでしょうか?
プライバシーマーク審査での審査基準(要求事項)としては、以下の3つが存在しており、この3つの基準を個々にクリアしないと審査で指摘を受けることになることをご認識ください。
(1) 規格書:JISQ15001を基準とした審査基準
(2) JIPDEC(プライバシーマークの審査機関)が「1)」とは関係無く独自に設定した審査基準
(3) 各審査員の主観的な審査基準
<(1)、(2)、(3)に対応する問答集>
(1)に対応する問答集としましては、既にご購入であれば、弊社が販売している「プライバシーマーク構築パッケージ」の中にある「B04-D04 内部監査チェックリスト(記入例).xls」が参考になるかと思います。
(2)に対応する問答集としましては、「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第1版-」(※JIPDECが作成・制定した審査基準)が、参考になるかと思います。
(3)に対する問答集としましては、残念ながら、文書としては存在しません。審査員の頭の中です。(笑)
<(1)、(2)、(3)の概要>
「(1)」はJIS規格として日本国内で正式に規定・制定されている審査基準です。
※通常であればこの規格を満足していれば審査は通ります。
※ISMSやISO9001などの他のマネジメントシステム規格であれば、ほとんどがこれにて審査されます(もちろん、法規制等は含まれますが、ガイドラインのようなものは存在しません)。
「(2)」はJIS規格とは別に、JIPDECが独自に決めた審査基準です。
※対応するガイドラインはJIPDECから文書として発行されていますが、審査時にはガイドラインに記述されていない新たな基準が要求されることがたびたびあり、新たな基準については予測するのは不可能です。
「(3)」は各審査員が自分の基準をごり押しする審査基準です。(笑)
※これについては全く予測することが不可能で審査員によってまちまちなものです。適正な審査を実施してくれる審査員であればこれはありませんが、質の悪い(?)審査員ではこれが多く発生します。
これは困ったことで、他のコンサルタントからもよく聞かれる話ですね。
なお、「JIS Q 15001:2006」及び「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第1版」については、プライバシーマーク制度の基本となる文書ですので、熟読するようにしたほうが良いかと思います。
また、勉強にもなりますので、「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第1版」の回答事例を皆様で作成してみても良いかと思います。
