こんにちは。管理部支援.comの専田です。

 

前回から”プライバシーマーク取得体験記”
お届け
しています(笑)

前回と今回の記事はおそらく同業(社会保険労務士)
やマイナンバー制度に関係する業種の方向けの内容
となりますが、そうでない方も参考としていただければ
幸いです。

ちなみに【前編】では、プライバシーマーク取得に
踏み切ったきっかけについてまとめてありますので、
よろしければ合わせてお読みください。

「スタッフ2名の事務所で『プライバシーマーク』前編」
はこちらから!

プライバシーマークを取得しました!

プライバシーマークを取得しました!

 

さて、マイナンバー制度の本格施行を控え、本年10月
からはいよいよ全国民(国内に住民票を有する個人)
に対する個人番号カードの配布が始まります。

これを踏まえ、個人番号をはじめとする特定個人情報を
預かる社労士業界でも対応が急ピッチで進んでいます。

マイナンバー制度対応の中で特定個人情報保護に必要な
規程類、制度、措置などを見ていると
「プライバシーマークを取得するのが一番手っ取り早い」
と思います。

何故ならば、プライバシーマークで定めるPMS(個人情報
保護マネジメントシステム)とマイナンバー制度には類似、
共通項目が多いからです。

 

しかし、プライバシーマークは大企業が取得するもので
費用も莫大というイメージがあるようです。大規模事務所
ならいざ知らず当事務所のような小規模(零細?)事務所
の取得はそもそも選択肢として考えられていないように
感じます。(専田も当初はそんな考えでした)

今回は「実際のところどうなのか?」という点ついて
私の経験をお話したいと思います。

 

1.費用面
取得の際に審査機関(JIPDEC等)に支払う審査費用は
以下のとおりです。専田の場合「小規模」事業者になるので、
合計金額は「308,573円」になります。

これは、審査にかかる費用なので、コンサルタントに
依頼する場合は別途コンサル費用がかかります。

プライバシーマークの審査費用(JIPDEC資料より)H27.8現在

プライバシーマークの審査費用(JIPDEC資料より)H27.8現在

2.必要な期間
マイナンバー制度を意識してか、
「一日も早く取得したい!」という声をよく聞きますが、
申請する前にPMS(個人情報マネジメントシステム)を
定め、規格(JIS Q 15001:2006)に適合しているかを
チェックし、制度を整備しておく必要がありますが
実はこれが結構時間がかかります。

ひな形になるようなものは色々とあるようですが、
それを自分の事業所に合ったものに修正していくのは
なかなか大変です。特にパソコン、ICT関係は昨今の
不正アクセスや情報漏洩事件を踏まえた細心の対応
が求められます。

規程類の作成や制度整備が完了したら、いよいよ申請
です。その後は、申請に不備がないかの「形式審査」、
策定した規則類の「文書審査」、申請者の事業所の
管理状況を確認する「現地審査」、これらを踏まえて
指摘事項があれば、改善報告などを行い、問題がなけ
れば晴れて「登録証の交付」となります。

私が聞いた範囲では
『最短5ヶ月、通常半年から8ヶ月』
といった感じですが、申請のタイミングや文書審査に
要する時間、現地審査を行う審査員とのスケジュール
調整などもあり、思ったよりも時間はかかります。

取得まで最短で5ヶ月を切るような話を聞いたことが
ありますが、「あくまでも理論上の話ではないかな?」
と思います。

それにあまり急いでもいいことはありません。
事務所の現状や構築したPMSの内容、手順などの理解が
不十分なままで現地審査に臨むことになり、思わぬところで
不備を指摘されたりとロクなことがありません。

現地審査では、かなり細かいところまで確認されるので
PMSの各種規程や制度の運用状況、取り扱う個人情報に
ついては、事前にしっかりと確認しておくべきです。

 

3.コンサルタントは必要か?
「プライバシーマークって自力で取れますか?」
という相談もよく受けますが、プライバシーマーク関係
の業務経験がある方や、よほど時間が取れるという方でも
ない限り片手間ではムリだと思います。専田もコンサル
タントに依頼しています。

「1」の費用面と被りますが、コンサルタントの有無と
その依頼内容でプライバシーマークの取得費用は大きく
変わってきます。

基本的にはコンサルティングフィーと依頼者の事務負担量
は反比例する関係にありますので、審査費用と合わせた
予算面と自身の負担のバランスをよく検討するべきです。

ちなみに私が検討した時点では、
「最安値6万円~最高額50万円」といったところでしょうか。
(あくまでも「専田調べ」です)

 

おまけ 取得のスケジュール
「せんだ社会保険労務士事務所」の場合

専田の場合、取得に関する大まかなスケジュールを
まとめると以下のような形になります。

H26年
10月 プライバシーマーク取得の検討開始
取得要件・予算の確認

11月 コンサルタントと契約
個人情報保護方針、PMS関係規程制定

H27年
1~2月 プライバシーマーク取得に必要な各種教育、内部監査の実施

3月中旬 審査申請

4月下旬 文書審査結果通知

6月初旬 現地審査

6月中旬 現地審査及び文書審査の指摘事項に関する改善報告

7月中旬 プライバシーマーク付与適格性決定通知と登録証の交付

7月下旬 プライバシーマーク発効(2年間有効)

 

振り返ると、スタッフ2名しかいない事務所(取組開始時)で
果たしてプライバシーマークは取得できるのか?
また、そもそも必要なのか?と不安や疑問はありましたが、
リスクの洗い出しをはじめ業務全体の見直しにもつながり、
やはり取り組んでよかったと思います。

プライバシーマークを取得したことで何かが劇的に変わる
ということはありません。また、マイナンバー制度の本格
施行を控えて事務所としてやらなければならないことも
まだまだあります。

マイナンバー制度の施行を控え、特定個人情報の取扱に
不安を感じている方やプライバシーマークの取得を検討
されている方の参考としていただければ幸いです。
にほんブログ村 士業ブログ 社会保険労務士(社労士)へ
にほんブログ村

労基や労務問題からマイナンバーやSNS問題まで「こんな事聞いても大丈夫かな?」ちょっとでもそう思ったら、その悩みをお聞かせください。初回相談は無料です。