個人情報保護管理者に任命されてしまったのですが、ド素人です。
アドバイスお願いします
今回、初めての更新で7月の初頭に、現地審査を控えております。
書類審査の結果が戻ってきたのですが、指摘事項に納得のいかない点がありました。
JISの要求事項3.4.4.2「開示等の求めに応じる手続き」
「本人からの開示等の求めに応じる手続きを定めるに当たっては、本人に過重な負担を課するものにならないよう配慮しなくてはならない」とあります。
弊社では今まで開示請求及び苦情も無いことから手数料に関して現時点では徴収しないことにしています。
しかし、書類審査の結果を見ると
『手数料徴収に関する過重負担の配慮で、手続きへの煩雑さ等への配慮がされていない』
と、△の評価でした。
他にも「適合していると判断できない」とされる項目がありましたが、ここについては何が悪いのか、分かりませんでした。
開示要求に対する手数料は徴収しなくてはならないのでしょうか?
小さな会社なので、万が一「開示請求」が来るとしたら私自身が対応することになります。手数料を徴収する手間がかかるほうがよっぽど煩雑なのですが。。。
コンサルを頼んでいるのですが、おじいちゃんで且つ一緒になって首を傾げてしまいました(笑)
現地審査までの時間が有ればまだ、いいんですが
この開示要求に関しての手数料に関して、皆さんはどの様に規定されてますでしょうか?
あと、現地審査についてなのですが・・・
今までプライバシーマークや個人情報に関する業務経験もなく、突如降ってきた、役職の「個人情報管理責任者」で何もわかっていません。
現地審査ではどのような、質問をされるのでしょうか?
ここだけは抑えるべき!と言うような項目は有りますか?
心構えとか、ありますか?
と、今からヒヤヒヤしてるんです。
アドバイスを頂けたら、嬉しく思います。
宜しくお願いします。
アドバイスお願いします
今回、初めての更新で7月の初頭に、現地審査を控えております。
書類審査の結果が戻ってきたのですが、指摘事項に納得のいかない点がありました。
JISの要求事項3.4.4.2「開示等の求めに応じる手続き」
「本人からの開示等の求めに応じる手続きを定めるに当たっては、本人に過重な負担を課するものにならないよう配慮しなくてはならない」とあります。
弊社では今まで開示請求及び苦情も無いことから手数料に関して現時点では徴収しないことにしています。
しかし、書類審査の結果を見ると
『手数料徴収に関する過重負担の配慮で、手続きへの煩雑さ等への配慮がされていない』
と、△の評価でした。
他にも「適合していると判断できない」とされる項目がありましたが、ここについては何が悪いのか、分かりませんでした。
開示要求に対する手数料は徴収しなくてはならないのでしょうか?
小さな会社なので、万が一「開示請求」が来るとしたら私自身が対応することになります。手数料を徴収する手間がかかるほうがよっぽど煩雑なのですが。。。
コンサルを頼んでいるのですが、おじいちゃんで且つ一緒になって首を傾げてしまいました(笑)
現地審査までの時間が有ればまだ、いいんですが
この開示要求に関しての手数料に関して、皆さんはどの様に規定されてますでしょうか?
あと、現地審査についてなのですが・・・
今までプライバシーマークや個人情報に関する業務経験もなく、突如降ってきた、役職の「個人情報管理責任者」で何もわかっていません。
現地審査ではどのような、質問をされるのでしょうか?
ここだけは抑えるべき!と言うような項目は有りますか?
心構えとか、ありますか?
と、今からヒヤヒヤしてるんです。
アドバイスを頂けたら、嬉しく思います。
宜しくお願いします。
|
|
|
|
コメント(12)
みこさん、はじめまして。
某社でPマーク関連のアドバイスもしているまっきーと言います。
以下、いただいた情報からの推測&完全な個人的意見ですが、参考になれば。
まず、開示手続きに関してですが、書類審査での指摘事項ですので、対象はあくまでも書類だと思います。
つまり、手数料をとれ、といっているわけではなく、手数料“以外の”手続きに関しても配慮をするよう規定しなさい、と言うことなのではないかと。
推測ですが、貴社の文書上、手続きにも本人の負担とならないように配慮せよ、との規定がないのではないでしょうか?
他の書類審査の指摘事項も同様に、規定されてないから、という理由の可能性があると思います。
また、現地審査では、規格要求事項についての実施が確認されますので、規格は充分理解されておくことをお薦めします。
JIPDECのホームページにある、ガイドラインも参考になると思いますよ。
審査、がんばってくださいね
某社でPマーク関連のアドバイスもしているまっきーと言います。
以下、いただいた情報からの推測&完全な個人的意見ですが、参考になれば。
まず、開示手続きに関してですが、書類審査での指摘事項ですので、対象はあくまでも書類だと思います。
つまり、手数料をとれ、といっているわけではなく、手数料“以外の”手続きに関しても配慮をするよう規定しなさい、と言うことなのではないかと。
推測ですが、貴社の文書上、手続きにも本人の負担とならないように配慮せよ、との規定がないのではないでしょうか?
他の書類審査の指摘事項も同様に、規定されてないから、という理由の可能性があると思います。
また、現地審査では、規格要求事項についての実施が確認されますので、規格は充分理解されておくことをお薦めします。
JIPDECのホームページにある、ガイドラインも参考になると思いますよ。
審査、がんばってくださいね
△は、「明確でないが、不適合とはいえない」レベルです。
改善は、しなくても問題ではありません。改善しなければならない場合は、明確に×となっているはずです。
手数料を徴収しない、としているにも関わらず(ですよね?)、『手数料徴収に関する過重負担の配慮で、手続きへの煩雑さ等への配慮がされていない』とはまた、ずいぶんな指摘(ただし△)ではありますね。というか、日本語として限りなく意味不明文章だな、こりゃ。文書審査員の日本語センスが疑われます。それはともかく。
指摘そのものが間違いの可能性も捨て切れませんので、現地審査のときに、ストレートに、審査員に聞いてから改善が必要なら、それから取り組んではいかがですか?
それで、なんら問題ないと思いますよ。別に、準備等で完璧を期す、なんてことをお考えにならなくてもよいと思います。
少なくともこの点に関しては、お気楽にやってください。
改善は、しなくても問題ではありません。改善しなければならない場合は、明確に×となっているはずです。
手数料を徴収しない、としているにも関わらず(ですよね?)、『手数料徴収に関する過重負担の配慮で、手続きへの煩雑さ等への配慮がされていない』とはまた、ずいぶんな指摘(ただし△)ではありますね。というか、日本語として限りなく意味不明文章だな、こりゃ。文書審査員の日本語センスが疑われます。それはともかく。
指摘そのものが間違いの可能性も捨て切れませんので、現地審査のときに、ストレートに、審査員に聞いてから改善が必要なら、それから取り組んではいかがですか?
それで、なんら問題ないと思いますよ。別に、準備等で完璧を期す、なんてことをお考えにならなくてもよいと思います。
少なくともこの点に関しては、お気楽にやってください。
>まっきーさん
申請者の手続きの煩雑さへの配慮ですか?!
ちょっと、目からウロコでした。
弊社の規定には
「手数料を徴収する場合は、申請者に過重な負担を課するものにならないよう配慮する」とありますが、
確かに、申請者の手続きの煩雑さに関しては記載が無かったです。
ちょっと、文面を工夫してみようかな。。。
>ozuさん
やっぱり日本語として意味が取り難いですよね。
私が、法的文書に読み慣れていないせいかと思ってました
そうですね、現地審査の際に直接聞いてからでも改善するのも手ですよね!
なんて言っても専門家ですし!
今回の書類審査には「×」は無かったのですが、前任者が取得したPマークをここで落とすわけには・・・と戦々恐々としてます。
なぜか、会社と契約したコンサルは御歳75歳のおじいちゃま。
会社としてはPマークを維持できればいい(取引先との関係上、Pマークがないと提携できない為)との考えで、あまりお金もかけたくない。
社内で個人情報保護についての文書作成、内部監査・教育等々、孤軍奮闘してきた挙句に「更新大丈夫だよね?」なんて言われると不安で仕方ないです
どの会社もお金をかけたくないのは一緒なのかなぁ。
丁寧な返答ありがとうございました!
また、お世話になるかもしれませんのでその際は宜しくお願いします
申請者の手続きの煩雑さへの配慮ですか?!
ちょっと、目からウロコでした。
弊社の規定には
「手数料を徴収する場合は、申請者に過重な負担を課するものにならないよう配慮する」とありますが、
確かに、申請者の手続きの煩雑さに関しては記載が無かったです。
ちょっと、文面を工夫してみようかな。。。
>ozuさん
やっぱり日本語として意味が取り難いですよね。
私が、法的文書に読み慣れていないせいかと思ってました
そうですね、現地審査の際に直接聞いてからでも改善するのも手ですよね!
なんて言っても専門家ですし!
今回の書類審査には「×」は無かったのですが、前任者が取得したPマークをここで落とすわけには・・・と戦々恐々としてます。
なぜか、会社と契約したコンサルは御歳75歳のおじいちゃま。
会社としてはPマークを維持できればいい(取引先との関係上、Pマークがないと提携できない為)との考えで、あまりお金もかけたくない。
社内で個人情報保護についての文書作成、内部監査・教育等々、孤軍奮闘してきた挙句に「更新大丈夫だよね?」なんて言われると不安で仕方ないです
どの会社もお金をかけたくないのは一緒なのかなぁ。
丁寧な返答ありがとうございました!
また、お世話になるかもしれませんのでその際は宜しくお願いします
書類審査で、×がない、は素晴らしいです!
そうなると、全部○にするわけにいかないから、せめてここは、といって△にされた可能性すら、あり得ます。
審査は、最終的には通すためのもので、ふるい落とすためのものではありません。しかし、全て○、というのもまた、完璧か、ということになるので、なかなか勇気のいるものと思います。
ので、本当にご安心ください。そして、審査員と、お茶のみ話でもしながら、自社の悩み相談などしながら、現地審査を潜り抜けてください。
現地審査も、同様に、パーフェクト、という審査結果は、審査員として出しづらいことと思います。「おみやげ」という考え方もありますので(ちょっと変かな??)、お気楽に指摘を受けてください。指摘とて、改善に時間のかかるものもあれば、ほんの一瞬で直せるものもあります。後者であれば、なんの苦もないと思います。
そうなると、全部○にするわけにいかないから、せめてここは、といって△にされた可能性すら、あり得ます。
審査は、最終的には通すためのもので、ふるい落とすためのものではありません。しかし、全て○、というのもまた、完璧か、ということになるので、なかなか勇気のいるものと思います。
ので、本当にご安心ください。そして、審査員と、お茶のみ話でもしながら、自社の悩み相談などしながら、現地審査を潜り抜けてください。
現地審査も、同様に、パーフェクト、という審査結果は、審査員として出しづらいことと思います。「おみやげ」という考え方もありますので(ちょっと変かな??)、お気楽に指摘を受けてください。指摘とて、改善に時間のかかるものもあれば、ほんの一瞬で直せるものもあります。後者であれば、なんの苦もないと思います。
みこさん、はじめまして。
書類審査を担当した調査員は、前回とは異なるはずですので、
現時点では、あくまで「書類」のみでの判断です。
現地調査では、違う見解を出されることもありますので、
現時点であまり神経質になることもないかと思われます。
(調査前に改善できた、と判断しても現地調査で指摘されて、
直さなければならなくなるという二度手間を踏むことにもなりますので)
それと、上記の方(ozuさん)も書かれているように、
「おみやげ」を持って帰らないと、
事務局内で、「何を調査してきたんだ」、
ということになりかねないので(あくまで推測としての書き方をしておきますが)、
“必ず”指摘事項は出ると考えておいた方がよいと思います。
少しでも参考となれば。
書類審査を担当した調査員は、前回とは異なるはずですので、
現時点では、あくまで「書類」のみでの判断です。
現地調査では、違う見解を出されることもありますので、
現時点であまり神経質になることもないかと思われます。
(調査前に改善できた、と判断しても現地調査で指摘されて、
直さなければならなくなるという二度手間を踏むことにもなりますので)
それと、上記の方(ozuさん)も書かれているように、
「おみやげ」を持って帰らないと、
事務局内で、「何を調査してきたんだ」、
ということになりかねないので(あくまで推測としての書き方をしておきますが)、
“必ず”指摘事項は出ると考えておいた方がよいと思います。
少しでも参考となれば。
>ozuさん
パーフェクトで書類審査は通過するつもりじゃないと!とコンサルからも言われていたので、ホッとして肩の力が抜けました
そうですね、指摘を受けるのが当たり前位に考えておけば気も楽に現地審査に望めますよね。
コンサルのおじいちゃまには聞きにくい事、いい機会なんで聞いてみようかな
>sph-contact(ミネ)さん
書類審査<現地審査 ですよね
無駄に焦らず粛々と進めようと思います
現地審査での指摘事項は多そうだなぁ@@@
心しておきます!
色々とアドバイスをありがとうございます!
昨日、書類審査の結果を踏まえてコンサルとの打合せをしたのですが、
久々に4時間越えの打合せと言う名のバトルをしてました
「JIPDECの顔を立てて・・・」
「JIPDECが見落としているだろうけれど、ココを見やすく直して・・・」
正直、なんじゃそりゃ?と
殆どの指摘事項には、対応できるだけの記述があるにも関わらずココで改訂をするべきか否か
と、揉めましたが最後にはコンサルのおじいちゃまが拗ね出したので…(笑)
JIPDECより、こっちの顔を立ててあげざるえませんでした。
しばらく、ドタバタとするでしょうが何とかなりそうです
本当にありがとうございました
パーフェクトで書類審査は通過するつもりじゃないと!とコンサルからも言われていたので、ホッとして肩の力が抜けました
そうですね、指摘を受けるのが当たり前位に考えておけば気も楽に現地審査に望めますよね。
コンサルのおじいちゃまには聞きにくい事、いい機会なんで聞いてみようかな
>sph-contact(ミネ)さん
書類審査<現地審査 ですよね
無駄に焦らず粛々と進めようと思います
現地審査での指摘事項は多そうだなぁ@@@
心しておきます!
色々とアドバイスをありがとうございます!
昨日、書類審査の結果を踏まえてコンサルとの打合せをしたのですが、
久々に4時間越えの打合せと言う名のバトルをしてました
「JIPDECの顔を立てて・・・」
「JIPDECが見落としているだろうけれど、ココを見やすく直して・・・」
正直、なんじゃそりゃ?と
殆どの指摘事項には、対応できるだけの記述があるにも関わらずココで改訂をするべきか否か
と、揉めましたが最後にはコンサルのおじいちゃまが拗ね出したので…(笑)
JIPDECより、こっちの顔を立ててあげざるえませんでした。
しばらく、ドタバタとするでしょうが何とかなりそうです
本当にありがとうございました
書類審査は、提出した書類のみで判断されます。それはそのとおりですが、提出した書類、ってのは、要する社内のルールでして、社内のルールがJISに準拠して作られているか、という審査です。
現地審査は、その、作成された社内のルールどおりに、運用されているかの審査です。
これで、順番に、JISと合致した社内規定、社内規定に合致した運用、この2つを繋げて、JISと合致した運用が確認できる、とまぁそういうわけです。
ので、審査員の「目つき」(視点)が、書類審査と、現地審査では異なります。
社内規定ではこれこれをやる、となっているのだが、実際にはやっていない(というか、運用が確認できない)ことが指摘になります。
そんなわけで、なにをいいたいか、というと、書類審査が完璧に近くても、運用ができていなければ絵に描いたもち、ということもあり得るので、そこを指摘される可能性がある、と思ってください。
運用に至るまで完璧、ということは、なかなかあり得ないことですので、指摘されて直す、ということは、普通にあります。
それでも、指摘されて直せば、それだけ、自社の個人情報保護への取り組みも改善されるわけなので、事実確認が違うことについては抵抗してよいですが、指摘には素直に従ってください。
現地審査は、その、作成された社内のルールどおりに、運用されているかの審査です。
これで、順番に、JISと合致した社内規定、社内規定に合致した運用、この2つを繋げて、JISと合致した運用が確認できる、とまぁそういうわけです。
ので、審査員の「目つき」(視点)が、書類審査と、現地審査では異なります。
社内規定ではこれこれをやる、となっているのだが、実際にはやっていない(というか、運用が確認できない)ことが指摘になります。
そんなわけで、なにをいいたいか、というと、書類審査が完璧に近くても、運用ができていなければ絵に描いたもち、ということもあり得るので、そこを指摘される可能性がある、と思ってください。
運用に至るまで完璧、ということは、なかなかあり得ないことですので、指摘されて直す、ということは、普通にあります。
それでも、指摘されて直せば、それだけ、自社の個人情報保護への取り組みも改善されるわけなので、事実確認が違うことについては抵抗してよいですが、指摘には素直に従ってください。
【ご報告です☆】
無事に現地審査が終了しました!
皆さんありがとうございました
まだ現地審査の結果は出ていませんが、是正・指摘共に結構ありそうです(笑)
コンサルに指摘を受け、変更した箇所に苦笑されたり・・・
主に「プライバシーマークとISOは違いますから...」とかなんとか。
会社に来てもらっているコンサルはISOの現地審査員の資格を持っているらしく、確かに今までも「それJISの要求事項の中にある定義かなぁ?」と首をかしげていた指示もありました。
だから、今回の現地審査で妙に納得したりもしました。。。
最終的に開き直って
『ここはどんな風に直したらいいんですか?』
『残存リスクの定義はなんですか?』
『・・・あ、忘れてました』
とかとか、色々と質問等ができていい経験になりました。
更新までまだ時間がかかりそうですが、頑張ります!
たくさんのアドバイスありがとうございました
無事に現地審査が終了しました!
皆さんありがとうございました
まだ現地審査の結果は出ていませんが、是正・指摘共に結構ありそうです(笑)
コンサルに指摘を受け、変更した箇所に苦笑されたり・・・
主に「プライバシーマークとISOは違いますから...」とかなんとか。
会社に来てもらっているコンサルはISOの現地審査員の資格を持っているらしく、確かに今までも「それJISの要求事項の中にある定義かなぁ?」と首をかしげていた指示もありました。
だから、今回の現地審査で妙に納得したりもしました。。。
最終的に開き直って
『ここはどんな風に直したらいいんですか?』
『残存リスクの定義はなんですか?』
『・・・あ、忘れてました
』
とかとか、色々と質問等ができていい経験になりました。
更新までまだ時間がかかりそうですが、頑張ります!
たくさんのアドバイスありがとうございました
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
プライバシーマーク 更新情報
-
最新のアンケート
プライバシーマークのメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- 広島東洋カープ
- 55345人
- 2位
- mixi バスケ部
- 37847人
- 3位
- 千葉 ロッテマリーンズ
- 37151人