プライバシーマークにおける注意事例について
プライバシーマーク
ケース1 プライバシーマークの申請時に虚偽の内容で審査申請のあった事業者に対する措置について
2014年11月14日に日本情報経済社会推進協会(JIPDEC)より「虚偽の内容で審査申請のあった事業者に対する措置について」のお知らせが掲載されました。
要約すると、プライバシーマークの審査において、ある新規申請事業者において虚偽が判明し審査の打ち切りとその後1年間の申請不可との通知をしたとの事です。
この事業者からは、申請及び個人情報保護マネジメントシステム(PMS)運用の100%代行を謳うコンサルティング事業者からの指示に従ったとの弁明があったそうです。
JIPDECの見解は、「申請にかかる事項については申請事業者の責任に帰するため、勿論このような弁明は認めませんでした」とコメントしています。
JIPDECは「プライバシーマーク付与適格性審査を申請できる事業者」として下記のURLで詳細に規定しています。
http://privacymark.jp/application/new/qualification.html
JIPDECの締めくくりのコメントとして、「プライバシーマーク制度は、PDCAサイクルに基づく、事業者の主体的・継続的なPMS活動がJIS Q 15001:2006に適合しているかを規程類・記録類等で審査し、その適合性が確認できた事業者に プライバシーマークの使用を認めるものです。本制度の趣旨をご理解いただき、主体的・継続的なPMS活動を推進していただきますようお願い申し上げます。」 と述べています。
ケース2 プライバシーマークの現地審査にコンサルティング会社が同席
最近、一部のコンサルティング会社が、お客様へPマークの現地審査に同席すると説明していると聞きました。
JIPDECが定めた規程である「プライバシーマーク付与適格性審査の実施基準」の付属書「プライバシーマーク付与適格性審査に関する標準約款」には、第8条4項「乙(審査を申請した者)の従業者以外の者が審査に立ち会った場合、甲(審査機関)は審査を打ち切ることができる」との記載があります。
また、「プライバシーマーク制度における欠格事項及び判断基準」には、「3.3.2 申請不可期間1年の事業者申請の日前1年以内に、次のいずれかに該当する事業者は、付与適格性審査の申請をすることができない。a) 審査機関が審査の過程において次の事項を発見したため、審査を打切った事業者 2 申請者の従業者以外の者が審査に立ち会ったとき 」とあります。
すなわち、その会社の従業者にはあたらないコンサルタントがプライバシーマークの現地審査に同席していて、それが発覚した場合には、その時点で現地審査が打ちきりとなり、そこから1年間は再申請ができないことになります。取得する事業所様にとって大きな被害となります。
もし、現地審査に立会い出来るという説明を受けた場合はJIPDECにご確認してみて下さい。