こんにちは、総務の Aki です。
今日は、プライバシーマーク取得のお話をします。
Sigfossは2016年7月にプライバシーマーク(以下Pマーク)を取得しました。それから2年周期で更新を続けています。
Sigfossは従業員6名の小さなソフトウェア開発会社ですが、お客様の大切なデータを扱うことに会社の規模は関係ありません。
まずはお客様からの信頼獲得が大事!という社長の判断のもと、Pマーク取得を決意しました。
コンサルを使わず自力で。
Pマークは"会社単位"で取得しなければいけないので、組織や部門がたくさんある会社は大変だと思います。
しかし、弊社のような人数も組織も少ない会社は、指揮を取りやすいので規定制定やリスク分析にかける時間が少ないと感じました。将来、Pマークや他認証を取得しようとしている小規模の企業様、取るなら人数が少ないうちに取っておいた方が楽です。
それでも申請までに半年程かかりました。何から始めれば良いのかわからず手探り状態だったっていうのもあり、あーでもないこーでもないとしながら、やっと申請までたどり着きました。
申し込んでから数日後に連絡があり、まず文書審査、それを通過したら現地審査という流れとのこと。
文書審査で不適合要素が結構出ます。ちょっと心折れそうになる。しかし、これを通過しないと現地審査に進めないので根気強く見直します。
基本、「審査に落ちる」ということはよっぽどのことがない限り、ありません。不適合箇所を直さず放置したり、連絡が取れなくなった等のことがあると「無効」となりますが、そんな会社は滅多にないでしょう。
規定を作る際に重要になってくるのは、「その会社の規模にあった規定を作ること」です。インターネットや本等で調べてみると色々な模範回答が出てきますが、素直にそのまま規定すると大変なことになります。インターネットや本の情報を参考にしながら会社の規模に見合った規定を作ることが大事です。
規定を作る他にリスクの洗い出しをするリスク分析や、最後には内部監査をしなければいけません。
リスク分析は、自社のセキュリティや対策に思わぬ落とし穴があることに気づかされるときもあります。
(2年に一度の更新はすぐにやってきて、毎回あたふたしてしまうのはここだけの話・・・です^^;)
また、今年はISO27001の取得を目指すべく、整備に取り掛かっております。
最後まで読んでいただきありがとうございます。
以前ブログでお話した「AI-OCR紹介ページ」がついに公開となりましたので、ぜひご覧ください。
それではみなさま、良い連休をお過ごしください。