プライバシーマーク取得のロードマップ

プライバシーマークの付与を希望する事業者は、JIS Q 15001に従って策定した「個人情報保護マネジメントシステム」に基づき、個人情報保護活動を実施・維持し、継続的に改善していくことが必要となります。プライバシーマーク付与認定のためのステップは以下のようになっています。

個人情報保護方針の設定
組織が個人情報保護に対してどのように取り組むのか、その姿勢を表明するもので、プライバシー・ポリシーやプライバシー・ステートメントとも呼ばれています。組織の目標を明確にすることで、組織が一丸となって到達地点を目指すことが可能となります。JIS Q 15001では、「事業者の代表は、この方針を文書化し、役員および従業員に周知させるとともに一般の人が入手可能な措置を講じなくてはならない。」としています。

アセスメントの実施
上記のプロセスで方針が決まったら、今度は組織におけるアセスメント（評価）の実施に取りかかります。これは、その組織の現況を調査分析し、設定した方針との間にあるギャップを明らかにする作業です。アセスメントを実施することで、何が十分で何が足りないのかが明確になります。

対策の立案と設定
アセスメントの実施で、その組織が抱える個人情報に関する脆弱性が明らかになったなら、この脆弱性を取り除いて、リスクを軽減させるための対策を立案する必要があります。具体的には「経済産業省ガイドライン」のホームページに掲載されている「2.安全管理措置（法第20関連）」などを参考に、組織で実施している安全管理措置と、ガイドラインに列挙してある項目を比較して、不足しているものを取り入れていくようにすればよいでしょう。

計画内容の文書化
リスクを軽減させるための対策が決定したら、既存の対策と会わせて、組織における個人情報保護に関する基本規定とします。さらに、この基本規定をもとにして詳細規定（具体的な実施手順）を策定します。そして、これらを文書化し誰もが参照できるようにします。

体制整備、教育訓練、運用
設定および文書化した対策に基づいて、組織内の体制を整備します。その上で、規定や詳細規定に関する教育訓練を実施し、組織内のメンバーが、個人情報保護体得を確実に実行できるようにします。そして実際の運用に取りかかります。

監査と改善
詳細規定の運用開始からしばらくしてから、監査を実施します。監査は定期的に実施し、記録を文書化し、組織の代表者に報告する必要があります。問題点は、改善策を検討して、実地運用にフィードバックされます。

申請と認証
プライバシーマーク認証取得のための申請を行います。申請から認定まではまとまった時間が必要なため、認証時期が決まっている場合は、できるだけ早期に個人情報保護マネジメントシステムを策定して申請を行うようにしましょう。