プライバシーマーク取得スケジュール
ここでは、「プライバシーマーク取得まで、どの位の期間が必要か」ということについてお話します。
「プライバシーマーク取得までの流れ」において、
【1】文書化
【2】社内運用と監査
【3】審査申請
【4】審査の受審
というお話をしました。
準備期間という観点で、補足します。ただ申し訳ないのですが、この期間はコンサルタントの指導を仰いだという前提です。コンサルタントを使わずに自力で行った場合は相当な期間がかかると言われています。
以下は、コンサルタントの指導を仰いだという前提で進めさせて頂きますが、
【1】マニュアル化、文書化のステップ
個人情報の特定やリスク分析、そしてマニュアルの策定、さらには各種の規定作成等、準備すべき作業量が結構多いステップです。
最も効率的なコンサルティングを行う等の努力はいたしますが、通常このステップで3ケ月程度必要です
このステップで大事なことは、運用できる社内ルールを作ることです。ルールと言うのは会社の仕組みですから現実と乖離した無理なルールを作ってしまったら、運用できません。運用できないと言うことは、プライバシーマーク取得の失敗につながります。
世間では、“審査を5回以上受けても合格できずプライバシーマークの取得をあきらめた”という企業が散見されています。こうした企業はここでの失敗が原因です。
また、“2週間で審査申請可能です”などをセールスポイントにして営業活動をしているコンサル会社もあります。2週間で該当企業に合致した使い易い社内ルールが作れるはずがありません。結果的に、“この通りやってください。そうすれば必ず合格できます”という押し付けシステムに過ぎません。こうしたコンサル会社を採用した場合は、失敗に向けてまっしぐらに走っているとも言えるでしょう・・・この部分は余談でした・・・
いずれにしても3ケ月程度はこのステップで必要です。
【2】社内運用と監査
監査とは、策定した社内ルールの定着度を測る作業ですから、最低限1ケ月の運用は必要です。1ケ月位運用しないと、定着度の測定はできません。
ここまてで、4ケ月です。
【3】審査申請
4ケ月で審査申請ができました。後は実際の審査日程が決まるのを待つだけです。審査日は企業側では決められません。審査機関が先着順に日程をはめ込んでいきます。
ここで問題なのが、「審査までの待ち期間」です。プライバシーマーク取得申請者が多く、かなり待たされるということは、以前にお話したと思います。
待ち期間は状況にもよりますが、4.5〜6ケ月程度は覚悟した方が良いでしょう。
この待ち期間の間は、プライバシーマークの運用を継続し、定着を図っていきます。
ここまでで、8.5〜10ケ月になりました。
【4】現地審査の受審
8.5〜10ケ月で現地審査です。一発で合格すれば、ここで終了です。
しかし、なかなか1回では合格できません。数度の審査になります。
結果的にプライバシーマークが付与されるまでに1年程度かかるのが実態です。
ここで考えるべきことは2つあります。
- 審査でスムーズな合格を勝ち取るためには、第一ステップの社内ルール(文書)で無理な仕組みを作らないことです。無理な仕組みを作ったら運用できず、審査に苦労します。
- 本音の話、審査は結構厳しいです。審査対策がしっかり行えるコンサル会社を選定してください。
