プライバシーマーク(Pマーク)取得準備にあたっては、マニュアル化と文書化が必要です。個人情報保護のための具体的な対策を考え、実際に運用できるような仕組みを文書化したものをPMS(個人情報マネジメントシステム)文書といいます。

Pマークは、飲食業のポイントカードなども対象です。従業員を雇っている場合は雇用情報も個人情報とされるため、ポイントカードを作らない飲食業でも対象となるケースがあります。

では、取得のためのマニュアル作りのためにはどんなことをまとめればいいのでしょうか。
取得準備から審査までの流れを説明いたします。

■Pマーク取得への大まかな流れ

プライバシーマーク取得を考えるなら、個人情報の範囲をまず特定しましょう。対象が明確になったら、情報の保護方法を検討してマニュアル化します。

マニュアルの作成後、スタッフに運用方法を説明してください。一人ひとりがどんな立場で個人情報と向き合い、どのような役割を果たしていくのか、正しい理解を求めましょう。

説明後に実際の運用フェーズに入り、マニュアルに従って日々の業務を進めていきます。しっかりルールを守っているか確認する内部監査員 も必要です。しかるべき担当者のチェックを受けて、社内のプライバシー保護体制をレポートします。
運用が徹底されていない部分をまとめて指摘、マニュアルに沿った運用体制へ改めましょう。ここまでの一連のフローをまとめて文書化 し、作成したマニュアルと一緒に審査機関に提出してください。
審査で問題ないと判断されると、Pマークを取得できます。

■個人情報保護マニュアルを作成しよう

個人情報保護マニュアルとは、従業員が安全に個人情報を扱うことができるよう基本的なルールを決めたものです。プライバシーマーク取得条件を満たすJIS Q 15001規格 に沿った形式で個人情報の扱い方を決めていきます。マニュアルに含めたい情報の例を参考までに見ておきましょう。

・個人情報にはどんなものが含まれるのか
・個人情報を扱う際にどんなことに気をつけるのか
・お客さまの情報はどのように集めるのか
・集めたお客さまの情報をどのように扱えば安全か
・従業員情報をどのように管理すればいいのか

マニュアルを読んだ社員が実際に行動できる状態が理想です。どんな情報が個人情報にあたり、なにに注意して運用すればいいのかなど、具体的例示を含めながら解説しましょう。
個々の業務についても必要に応じて触れて、日々の業務にそのまま活用できる状態を目指してください。一律的なマニュアルでは分かりにくいと判断すれば、作業ごとの手順書など別添資料も必要です。部署ごとに想定される作業内容をマニュアル化しておくと、実際の運用に役立つでしょう。
お客さまと接する部署、従業員を管理する部署など会社の中の役割によって、気をつけたい内容は変わってきます。細かなルールをマニュアル化しておけば、大きなトラブルを事前に予防できます。

個人情報を扱うときだけでなく、その保管方法も重要です。どのように管理すれば不正使用を防止でき、外部に漏れることがないか規定しましょう。個人情報流出事故は会社の信頼に関係するリスクで、飲食業を続けるためにしっかり考えておきたい項目です。パソコンで保管する場合などもハッカー攻撃などに備えて、外部からアクセスしにくいセキュリティ対策を徹底してください。

■内部監査後に見直しをして文書化する

マニュアルが一通りできあがったら、社内教育を通してスタッフに周知させます。一定期間運用すれば「この場合はどうすればいいのか」という疑問が出てくるもので、現場の声をくみ上げて見直しをはかりましょう。マニュアルがどの程度守られているか調べるため、内部監査のチェックも入れてください。
リスク管理に精通した社内の代表者が運用状態を客観的に判断して、個人情報保護体制を見直すためです。このレビューを通して最初に作成したマニュアルをブラッシュアップし、より精度が高い文書へと変えていきます。

ここまでのステップで一通りのPDCAサイクルがまわったことになり、取り組み状況をまとめて文書化しましょう。

審査機関に作成文書を送付すると、文書審査と現地審査が入ります。マニュアルが規定に沿った内容かチェックすると同時に現場で活用されていることを確認してください。
外部審査員の目から見てプライバシーマークの認可条件に合致しない箇所があれば、その場で指摘が入ります。対策が足りないところやより詳細なマニュアルが必要な箇所について指摘されるので、意見をもとに改善しましょう。指摘事項が一度で改善されない場合は、複数回チェックが入ります。文書と現場体制の両方のブラッシュアップ行い、条件を満たす状態になるとプライバシーマークの取得が可能です。

■まとめ

Pマーク取得のためには一連の流れをスムーズに行う必要があり、専門知識をもとにしたルール作りが求められます。自社人員だけではどうしたらいいのか分からないケースも多く、外部コンサルタントに依頼して進めます。一定のコストはかかりますが、社内の情報管理体制のベースを作る大切な行程です。取得準備を念入りに行うと現地審査がスムーズに進み、やり取りのタイムロスを防止できます。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

Pマーク、50,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ