第111回 プライバシーマーク取得の全体像(1)
プライバシーマークの認定は、個人情報保護のためのJIS規格(JISQ 15001) に準拠した コンプライアンス・プログラム (CP) に基づいた運用が行われているか審査されます。PDCAのマネジメントサイクルを基本とした、仕組みづくりができているか問われるのです。
みなさん業務に追われる毎日ですから、
「早く、安く、カンタンに、マークをとりたい。」
「専属の担当者を置けない、シーピー(CP)作って! ひな形あるでしょ。」
これらの要望は、私たちも創業すぐにPマーク取得に取り組んだ経験から、「そうだよなぁ、分かるよ…。」と実感がわきます。
なにせJISQ15001の要求事項を満たすようにと言われても、言葉の意味を自社なりに咀嚼(そしゃく)しないと何をしたらよいか全く分かりません。例えば、JISQでは○○すること、という表現が多いのですが、どのように○○するかは各企業に任されているからです。
「どないするねん!どこまでやったらエエねん!」
と私は何回も叫んだものでした。
Pマークの取得には、コンプライアンス・プログラムの構築が必要ですが、文書を制作して終わりではありません。ヒナ形の丸写し、コンサルタントにお任せ、では自社にあった仕組みができるはずがない、運用できるはずもない。
文書の意味を理解して自社なりに修正しない限り、個人情報保護の体制を維持・継続することはできませんよ。Pマークの更新審査が2年後には、待っています。
■プライバシーマーク取得の全体像
どのようなステップがあるかご説明します。業務分析からリスク分析までを前半戦として、私たちはとても力を入れています。CP文書作成から申請書の作成までを後半戦と呼んでいます。
中小企業のPマーク取得支援コンサルでは、業務を整理していないこと、属人的であることを当然のことと受け入れていることを実感します。私もかつてそうでした。
「ちょっと標準化するだけで、仕事がラクに、効率アップするのに…。」
「社長のノウハウを形にすれば、あの若手営業も売れるのに…。」
もったいないなぁ、と思います。
そこで、いまやっている仕事を見つめて標準化を図るため、プロジェクトメンバーとディスカッションを行って業務フロー図の作成に、十分すぎる時間をかけています。私たちは「儲かるキッカケとしてのPマーク取得」を目指しているので、ヘンなやり方だと思います。
1.前半戦(業務分析からリスク分析まで)
前半戦の5ステップの概略を説明します。
□ステップ1:プロジェクトのキックオフ
・作業に実感をもってもらうために参加型のセミナーを行い、「個人情報保護って意外に大事なンだよなぁー、ウチもやらないと危ないかもね。」と、メンバーに体感してもらいます。
・幸せで豊かになる「Pマーク取得」の目標を設定します。社長からメンバーまで全員で、目指すゴールの姿を一つにまとめます。
・ゴール達成のために自社の特徴を明確に打ち出した、個人情報保護方針を作成し、社内発表を経てプロジェクトを開始します。
□ステップ2:業務フロー図の作成
・業務フロー作成で7~10回もワークショップを実施することがあります。通常のPマーク取得支援コンサルの域を完全に脱していますが、私は本来マーケティング・コンサルなので、みっちりやっています。
・まず業務の種類を大別することから始めます。同種の仕事と思えても、「この仕事だけは、聖域なンです!」と特定のお得意様企業のフローだけ別扱いする会社があります。聖域扱いすると担当者が固定化されがちで、ブラックボックスになり、リスクが高くなることがあります。
・業務を丹念にみつめて、目標設定したゴールに向かうために何をすべきか?と議論していると、商売のチャンスの女神が必ず見つかります。情報資産の洗い出しやリスク評価をするとき、ブレやモレが少なくなります。
・真剣に行動する会社は業務フローが「巻きもの」みたいに長くなります。(どんなことになるのかは第100回「どんな対応してますか?(9)」をご覧下さい)
