昨今、個人情報保護や情報セキュリティに関する意識がますます高まる中で、プライバシーマーク取得が企業の信頼性向上や取引先確保において注目を集めています。本記事では連載で、取得に向けた3ステップをご紹介します。
今回は②PMSの運用について解説します。
個人情報保護マネジメントシステム(PMS)について知りたい方は、こちらの記事をぜひご参照ください↓
前回の記事では、PMSの構築について主に下記3点を説明しました。
①代表者を中心に組織体制を作り、個人情報保護管理者、個人情報監査責任者を決めること
②自社が取扱う個人情報を特定し「個人情報保護台帳」を作成すること
③取り扱う「個人情報」のプロセスの中でリスクを分析し、ルールを作ること
今回は構築されたPMSを実際に運用するフェーズについて説明します!
②PMS運用
個人情報を管理するための体制や社内ルールが決まったら、実際にルールに基づいた運用を行っていきます。
…とその前に、ルールに基づいた運用を社内で行っていく為には、社内の従業者にルールを周知しなければなりません。その為にルールが決まったら全社員を対象に「教育」を実施します。
1.教育
PMSでは「教育」と「内部監査」の最低年1回の実施が定められている為、教育の実施はとても重要です。
(教育と内部監査の「計画」を立てることがPDCAの『P』の部分に該当します)
集合型の実施、e-learningの実施など教育の方法はどのようなやり方でも問題ありませんが、
初めて実施する場合は、社内の従業者に個人情報の取り扱いについて注意してもらうためにも集合型で実施する方が効果的と言えます。
教育の内容は、少なくとも下記4点を含める必要があります。
a)個人情報保護方針
b)個人情報保護マネジメントシステムに適合することの重要性及び利点
c)個人情報保護マネジメントシステムに適合するための役割及び責任
d)個人情報保護マネジメントシステムに違反した際に予想される結果
教育を実施したら、いよいよ実際に定めたルールで「運用」を行っていきます。
・3ヶ月に1回法令を特定し、「法令特定一覧」に記載する
・PCを持ち出す時は「〇〇リスト」に記載する
・委託先を「委託先審査票」を用いて評価・選定する
・毎日オフィスの入退室管理をシステム上で行い、ログを保管する
・
というように、自社のルールで定めた運用を行っていくと「記録」が発生します。記録は紙媒体でも、
システム上でも問題ありませんが、後で確認ができるように必ず保管します。
また日常の点検活動は随時行います。
2.内部監査
一定期間の運用後、内部監査を実施します。
内部監査責任者を中心に「監査計画書」を作成し、個人情報に関わる全事業所を対象に監査を実施します。
内部監査も最低年1回の実施が必要です。
内部監査では主に、3つの観点がポイントです。
①PMS規格適合状況の監査
→自社が策定した規程類が審査基準である『プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針』に準拠しているか確認します。
②PMS組織体制の監査
→PMS事務局など、マネジメントシステムが実際に運用できる体制が整っているか、計画通りに実施ができているか等を確認します。
③PMS運用状況の監査
→個人情報を取扱う各事業所が社内ルールに基づいて運用ができているか、確認します。
実際は運用を行う中で発生した「記録」の閲覧、担当者へのインタビュー等で、監査を行います。
また監査は各事業から独立した監査員が実施することが原則です。最終的に実施結果を「内部監査報告書」としてまとめ、代表者に報告します。また代表者は1年に1回「マネジメントレビュー」を開催し、自社のPMSの状況を確認して改善を行います。
ここまでが、②PMSの運用のフェーズになります。いかがでしたでしょうか。
Pマーク申請には必ず必要なステップになります。
次回は、③申請について解説いたします。お楽しみに!
Trouvezでは企業様のご状況に合わせた適切な取得方法やアドバイスをさせて頂いております。
お気軽にお問い合わせください。
https://www.trouvez-tll.com/privacy-mark/