Pマーク規格の把握
Pマークを取得する際にまずやらなければいけないことはPマークの規格であるJIS Q 15001:2006を入手して概要を把握することでしょう。コンサル会社に依頼する場合でも、可能であればある程度の全体は理解しておいた方がよいでしょう。また、JIS Q15001の他に「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン第2版」を読んでおくといいでしょう。こちらはガイドラインとなり、Pマークを取得するために何をするかということが具体的に記載されています。コンサル会社に依頼する場合は内容自体もわかりやすく説明してくれるため熟読する必要はありませんが、自社のみで取得する場合は全て読み込む必要があります。
社内ルールと業務フロー
Pマークを取得するためにある程度やるべきことがわかった段階で、次のステップとして社内にどのような業務があるか、それに対してどのような個人情報があるのかということを整理していく必要があります。小規模な会社であればよいですが、ある程度の規模の会社となっていると担当者のみでは業務を全て把握できていないケースが多いでしょう。また、どのような個人情報を取り扱っているのか、何を個人情報として捉えればいいのかなど、悩むことはたくさんあるでしょう。まずは業務フローを作成するなどして業務と情報の流れを整理するとわかりやすいでしょう。コンサル会社に依頼する場合でも、ある程度のフローや流れは自社で確認する必要があるでしょう。
また、既に情報の取扱いなどについて社内規則がある場合、その内容確認も必要です。Pマークでルールを作成する際に、既にあるルールに違反しては意味が無いからです。また、ルール上はあるけれども実際は守られていない規則がある場合はPマークのルールに合わせて改廃していく必要もあるでしょう。
個人情報の特定
業務がある程度整理されたら、社内にどのような個人情報があり、どのように管理しているか把握できています。これらの個人情報を台帳として一元管理していくことになります。台帳にはどのように管理しているかを記載していきますが、Pマークでは台帳にどのような項目を入れればよいかが要求されています。これはガイドラインや書籍でもわかりますが、コンサル会社は全て網羅したフォーマットを提供してくれます。管理方法が決まっていない個人情報について、台帳に記載しながら管理方法を決めていくことになるでしょう。
リスク分析の実施
Pマークでは、個人情報を特定した上で、それぞれの個人情報のリスクを洗い出し、リスクへの対策を決めていくことが求められています。これがリスク分析です。リスク分析は初めての方は一番手間取るところかもしれません。コンサル会社に依頼するとサンプルなどが提示されるのである程度はわかりやすいかもしれません。個人情報の特定と合わせてリスク分析は重要な作業であり、審査の際も重点的に確認されますので時間をかけて実施しましょう。