コンプライアンス・プログラムって何?
相談員「御社ではISO9001の認証取得は受けられましたか?」経営者「ええ取得しています。」
相談員「でしたら同じようなものだと思ってください。少し難しい用語ですが」JIS Q 15001:1999に基づくコンプライアンス・プログラムを構築することで、プライバシーマークを導入します。」
経営者「何ですか?そのJIS Q何たらと言うのは?」
相談員「平成11年に個人情報保護に関するコンプライアンス・プログラムの要求事項がJISで定められました。それがJIS Q 15001です。」
経営者「コンプライアンス・プログラム!また頭がこんがらがってきました。何ですかそれは?」
相談員「ISO9001を取得されたのならPDCAサイクルについて学びましたよね。それと同じです。ISOで品質管理方針を決めますが、同じように個人情報保護方針を決定します。」
「方針に基づき計画(Plan)を作成し、実施(Do)します。そして監査(Check)を行い、事業者の代表者による見直し(Action)となり継続的改善を繰り返していきます。」
「つまりコンプライアンス・プログラムとはこのPDCAサイクルをまわして改善するマネジメントシステムのことで具体的には個人情報保護に関する実施体制、規程類、記録、実施状況などになります。」
プライバシーマーク取得に関する期間
経営者「なるほどISO9001の認証取得と同じようなマネジメントシステムと考えればよいのですね。そうすると今から着手しても1年ぐらいは期間がかかりますね。」相談員「おっしゃるとおりです。期間は最低でも1年はみておいたほうがよいでしょう。最初に社内のどこに個人情報があるかという特定が大変です。知らず知らずのうちに色々なところに分散したりしていますので、まずこの整理が大変になります。それから個人情報ごとのリスクの識別を行います。着手してから3ケ月ほどこれにかかりっきりの企業もたくさんあります。」
「消費者からの申し出を受け付ける窓口や個人情報の管理責任者等の体制作り、内部の業務の流れの見直し、どうモニタリングするか監査手順などを決めていきます。プライバシポリシーはコンプライアンス・プログラムに基づいて個人情報の管理が適切に実施されているかどうかが審査されます。」
| 1ケ月目 | 個人情報保護方針の策定 |
| 2ケ月目 | 個人情報の特定と管理策の策定 |
| 3ケ月目 | コンプライアンス・プログラムの文書化 |
| 4ケ月目 | コンプライアンス・プログラムの全社展開、内部監査員要請 |
| 5ケ月目 | コンプライアンス・プログラムの運用開始、内部監査の実地 |
| 6ケ月目 | 事業者による見直し、認定機関へ書類申請 |
| 7ケ月目 | コンプライアンス・プログラム確立 |
| 9ケ月目 | 現地審査 |
| 10ケ月目 | コンプライアンス・プログラムの改善 |
| 11ケ月目 | プライバシーマーク認定へ |
「プライバシーマークの取得については自社内でコンプライアンス・プログラムの運用開始、見直しをかけてからプライバシーマーク付与指定機関に申請書を提出します。」
「指定機関が書類審査、現地調査、改善報告書提出などを行い。認定となればプライバシーマーク使用契約を結び、プライバシーマーク使用許諾となります。」
経営者「プライバシーマーク取得に関する費用はどれぐらいみておけばよいですか。」
