Pマーク(プライバシーマーク)の教育は、テキスト配布と理解度テストのみで実施可能です。JIS Q 15001では教育手段を限定しておらず、客先常駐者が多い組織でも合理的理由があれば審査で指摘されません。合格基準の設定や未提出者へのフォローを徹底し、実効性を証明する運用ポイントを解説します。
プライバシーマーク全般
このサイトは、ISM Web store の公式サポートブログです。
プライバシーマークに関する体制構築から運用に関する質問と回答です。
経理伝票等の保管を外部倉庫へ委託する場合、中身を閲覧しない業務内容でもPMS上の「委託」に該当します。物理的リスク管理の観点から委託先の評価・契約・監督は必須です。チェックリストは業務実態に合わせ、物理セキュリティに特化した項目へのカスタマイズや非該当項目の除外による柔軟な運用が認められます。
旅行手配でのアレルギーや宗教情報は「要配慮個人情報」に該当します。取得には原則として本人の同意が必要ですが、利用目的を特定し書面で同意を得ることで適切に運用可能です。JIS Q 15001:2023に準拠したPMS運用手順や、例外規定の活用、同意書整備のポイントを詳しく解説します。
プライバシーマーク更新時の「代表者による見直し実施サマリー」の記入方法を解説します。見直しの必要がない場合でも、その理由を含めた現状を正確に記載することが重要です。JISQ15001に基づき、最新の情報セキュリティ脅威や組織環境の変化を考慮した、審査で納得感のある記述のポイントを回答します。
入退室の静脈認証は物理的安全管理に該当し、PCログイン等の指紋認証はアクセス管理規程で扱うのが適切です。ISMSでは「誰が許可された者か」を周囲が判別できる視覚的識別が求められます。ストラップの色分け等、安価で効果的な識別改善策と規程運用のポイントを解説します。
内部監査員は最低2名必要です。JIS Q 15001では「自らの業務を監査しない」という客観性の原則が求められるため、1名では独立性を保てません。40名規模なら役割を「監査責任者」と「内部監査員」に統合し、相互監査体制を構築するのが効率的です。
同一フロアに別法人が混在する場合、ISMSやPマークの運用では「管理区域」の明確な定義が重要です。物理的境界により貴社の執務エリアに立ち入らない構造であれば、別法人の従業員や来客への名札着用は不要です。区域ごとの管理ルールを明文化し、自社の情報資産を守る境界線を引くことが適切な運用のコツです。
Pマーク運用でグループ会社と同フロア・設備共用する際の対策を解説。サーバーやメールドメイン共用は、アクセス権限による論理的隔離と機密保持契約の締結が必須です。物理的・論理的な隔離手法や、審査で重視されるアクセス権限管理規定の具体的な作成ポイントを事実ベースで紹介します。
ハローワーク等で自発的に送られてくる履歴書への対応を解説。Pマーク(JIS Q 15001)上、取得時の同意書がなくても直ちに違反ではありません。面接しない場合は、求人票への利用目的の明記と適切な廃棄が重要です。実務的な対策と管理手順を詳しく紹介します。
Pマーク申請書類は、組織図等の「実態を示す記入必須書類」と、台帳類等の「空欄の様式見本」の2種に大別されます。JIPDEC規定に基づき、各書類の提出状態を具体的に解説。申請時に必要な様式と現地審査で確認される運用の違いを正しく理解し、スムーズな審査準備を支援します。
