特集1

正林国際特許事務所　所長　弁理士
正林真之（しょうばやしまさゆき）　http://www.sho-pat.com/

　プライバシーマーク取得計画の立案
　計画を立案するにあたっては、初めと終わりを常に認識して全体を見渡すことが重要です。ですから、まず最初に、「プライバシーマーク取得計画」というのは、プライバシー保護の運営を行うべき組織の結成からプライバシーマークの取得申請を経て、（財）日本情報処理開発協会（JIPDEC）との契約を行うまで、の一連の計画であるということを常に念頭に置くようにして下さい。
　コンプライアンス・プログラム（＝個人情報保護のためのマネジメントシステム）は、プライバシーマーク取得の申請の前段階で完成されていなければなりませんし、コンプライアンス・プログラム文書（＝提出文書としてのコンプライアンス・プログラム）は申請の際の必須添付書面ですから、その策定をいつ開始していつ終了させるかが、計画立案の核となります。

■プライバシーマークの取得申請に至るまでのポイント
　ところで、コンプライアンス・プログラムの策定は、専門家に相談して作成してそれで終わり、というようなものではなく、まずは「たたき台」のようなものを作った後に、実際の試行錯誤を繰り返し、それで理想のものに収束させていくべき性質のものです。
　従って、その策定にあたっては、事前教育や事前の現状把握が必須であり、その「試行」に中で「教育」や「監査と問題点の洗い出し」を随時行い、「再試行」を繰り返しては、申請とそれに続く審査に耐えるだけの内容のものにする必要があります。
　要するに、プライバシーマーク取得計画の立案は、コンプライアンス・プログラム策定のための準備段階と、その策定段階からなり、策定段階とは、「たたき台」の試行と修正からなる、ということです。
　これを「コンプライアンス・プログラム文書」という観点から見れば、コンプライアンス・プログラム文書のたたき台の作成、当該たたき台の試行運用、たたき台の見直しを通じた文書内容の完全化、というように把握することができます。

■コンプライアンス・プログラム策定の事前準備段階
　プライバシーマーク取得計画を立てるにあたって、事前準備段階としてどのようなものがあるのかを把握しておくことが必要です。それは、「社内体制の確立」と「社内教育」と「コンプライアンス・プログラム文書のたたき台の作成」です。
　「社内体制の確立」にあたり、プライバシーマーク取得は、まず企画推進からスタートしますが、当初は企画推進チームの主導により進めます。ここでの具体的作業としては、取締役会でのプライバシーマーク取得の承認や経営者による方針（社長宣言）の作成、プライバシーマーク取得体制の構築（組織化）などが挙げられます。また、このときに、個人情報保護に関する経営者宣言が行われます。このときに、全社員参加によるキックオフ大会を開くとよいでしょう。そしてそれに準ずる形で、個人情報保護管理責任者をはじめとする各管理責任者が任命され、辞令が交付されるようにします。
　「社内体制の確立」が終了した後は、「社内教育」を行う必要があります。教育の内容は、プライバシーマーク制度やJIS Q15001の内容などの教授といったような形式的なもののみならず、個人情報保護に関する社員への意識づけといったような実質的な内容にまで踏み込んだものを行う必要があります。その際に、具体的事例の紹介等を通じて、個人情報保護に対する意識を高める方向に持っていくようにするとよいでしょう。
　「社内体制の確立」と「教育」が済んだ後は、「コンプライアンス・プログラム文書のたたき台の作成」に入ります。

■コンプライアンス・プログラムの策定段階
　既に述べましたように、コンプライアンス・プログラムの策定段階は、前述の「コンプライアンス・プログラム文書のたたき台」の試行段階と修正段階とからなります。
　プライバシーマーク取得計画の試行・運用は、社内教育担当者による社員教育からスタートし、全社員に対してコンプライアンス･プログラム文書のたたき台の内容を周知・徹底することから始まります。そして、社員に対しては、コンプライアンス･プログラムに沿い、１～２ヶ月間にわたって実際に試行・運用を行い、その中で、試行・運用状況のチェックや改善点の抽出・改善を実施し、それをフィードバックするように指示します。この試行・運用状況のチェックや改善点の抽出・改善は主に社内監査の仕事ですが、社内監査は、フィードバックされた内容に応じてプログラムの内容を改善し、この改善されたプログラムを更に約１ヶ月程度再試行し、それをまたフィードバックさせてはプログラムを改善して試行する、というサイクルを繰り返し、コンプライアンス･プログラムの完成度を高めていくことになります。
　このような試行・運用、改善行動（D.C.A）を通じてコンプライアンス･プログラムの完成度を高め、（財）日本情報処理開発協会（JIPDEC）への申請・申請・審査・認定へと進み、最終的にはＪＩＰＤＥＣとの間でプライバシーマークの使用許諾契約を締結することになります。

■プライバシーマークの取得段階（（財）日本情報処理開発協会（JIPDEC）への申請・審査・契約段階）
　コンプライアンス･プログラム文書などの必須添付書類を携えて、適正な申請書を付与機関または認定指定機関へ提出し、申請を行います。こうしてプライバシーマーク認証取得申請手続きを終えた後、付与機関または認定指定機関による審査を受けます。そして、プライバシーマーク審査が無事に終了すれば、プライバシーマーク付与の認定が行われ、その後、プライバシーマーク使用許諾契約書によるJIPDECとの契約を締結することを通じて、プライバシーマークの認定企業となることができます。

■コンプライアンス･プログラムの継続的運用
　プライバシーマークの認定期間は２年間ですので、この間、コンプライアンス・プログラムを継続的に運用し、スパイラルアップをはからなければなりません。コンプライアンス･プログラムを継続的に運用することができる体制となっていなければ、せっかく取得した認定も取り消されてしまいます。
　ではここから、コンプライアンス・プログラム策定のそれぞれの段階の具体的な内容と手順について説明します。

社内体制の確立－組織作り－

　プライバシーマークの認定に耐えるコンプライアンス･プログラムを策定するためには、企業内体制を整備し、適応範囲を決める必要があります。より具体的には、組織体制として、プライバシーマーク取得のためには、少なくとも、個人情報保護管理者、社員教育責任者、監査責任者、消費者相談窓口責任者の４つを設置しなければなりません。そして、個人情報保護体制を確立するために権限を与え、責任体制を確立し、適応範囲を決定する必要があるのです。
　個人情報保護管理者は、個人情報保護の活動に責任を負っている管理者として、JIS Q15001に規定された管理者を設置しなければなりません。監査責任者についても、現場部門とは独立した監査組織を別途に設けることができるのであればよいのですが、企業規模によってはそのような独立部門を維持することができない場合もあります。こうした場合には、外部監査を頼んだり、総務部などの既存の管理部門に兼任をお願いしたり、ということを考えねばなりません。

↑TOP