Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

プライバシーマーク(Pマーク)「マネジメントレビュー」2017年版で変更があった点と注目すべきポイント

2019年7月7日

今回は、Pマーク(プライバシーマーク)規格改訂によって変更された中でも、特にPマーク(プライバシーマーク)取得・運用する際に必ず必要となる、「マネジメントレビュー」についてお話しさせて頂きます。

Pマーク(プライバシーマーク)の要求事項

Pマーク(プライバシーマーク)の要求事項は下記のように記されています。

―――――――――――――――――――――――――――――――――

9.3 マネジメントレビュー

トップマネジメントは,組織の個人情報保護マネジメントシステムが,引き続き,適切,妥当かつ有効であることを確実にするために,あらかじめ定めた間隔で,個人情報保護マネジメントシステムをレビューしなければならない。

マネジメントレビューは,次の事項を考慮しなければならない。
a) 前回までのマネジメントレビューの結果,とった処置の状況
b) 個人情報保護マネジメントシステムに関連する外部及び内部の課題の変化
c) 次に示す傾向を含めた,個人情報保護パフォーマンスに関するフィードバック
1) 不適合及び是正処置
2) 監視及び測定の結果
3) 監査結果
4) 個人情報保護目的の達成
d) 利害関係者からのフィードバック
e) リスクアセスメントの結果及びリスク対応計画の状況
f) 継続的改善の機会

マネジメントレビューからのアウトプットには,継続的改善の機会,及び個人情報保護マネジメントシステムのあらゆる変更の必要性に関する決定を含めなければならない。
組織は,マネジメントレビューの結果の証拠として,文書化した情報を保持しなければならない。

――――――――――――――――――――――――――――――――

堅苦しくざっと書いてありますねー。
簡単に言うと、「事業者の代表者はa)~f)の事項を参考に個人情報マネジメントシステムの見直しを行って下さいね。」と、いうことです!

ここで注目すべきことは、3つです。

①「少なくとも年に1回」→「あらかじめ定めた間隔で」実施するよう記述していること
②実質的な経営判断が求められているということ
③アウトプットに関しての要求事項が2017年版で追加になったということ

以下でひとつひとつご説明いたします!

①「少なくとも年に1回」→「あらかじめ定めた間隔で」実施するよう記述していること

旧規格では「少なくとも年に1回の実施」と記述されていましたが、2017年度版では「あらかじめ定められた間隔で実施」という、ISO規格と同じ表現に変更されています。

これはつまりPマーク(プライバシーマーク)で求められていることが、

旧規格「年に1度定期的に実施するだけではなく、必要に応じて不定期でも実施していきましょうね。」
2017年度版「計画的にマネジメントシステムの運用を行いましょう。(原則決められた間隔で実施しましょう。)」

というように変わったということです。

②実質的な経営判断が求められているということ

今回の規格改訂により、「事業者の代表による経営の見直し」が「マネジメントレビュー」という文言に変更になっていますが、呼び方が変わっただけで意味合いは同じです。

この項目では、実質的な経営判断が求められており、「要求事項のa)~f)の事項を含んだ内容で、実際に自社ではどんなことが必要かを事業者の代表(経営者)は判断してくださいね。」と言われています。

ここでのポイントは、「判断が求められている」ことです。

③アウトプットに関しての要求事項が2017年版で追加になったということ

旧規格の「3.9事業者の代表者による見直し」では、アウトプットに関しては特に述べられていませんでした。
つまり、極端に言えば全く的外れなアウトプットでも問題はなかった(!)、ということになります。

例えば、「作業のクオリティに問題があり外部から意見があった」というインプットに対して、そのアウトプットとして「最近太り気味だからしばらくはラーメンを控える。」というものでも最低限要求には応えていることになります(笑)
まあ、一般的に考えて問題なので審査員からの評価はよくないでしょう(笑)

しかし、今回の規格改訂により、2017年版からはアウトプットに対する要求事項も追加されました。
これによって継続的改善の機会、および個人情報保護マネジメントシステムのあらゆる変更の必要性に関する決定を含めたアウトプットが必要になりました。

まとめ

いかがでしょうか。

要求事項をよく読んで、解釈の方法を変えてみると意外と面白い場面が出てくることもあります。
こんなんでいいの?と突っ込みを入れながら要求事項を解釈していけると面白いですよね。
また、改めて要求事項を読んでいると新しい発見をすることがあるかもしれません。

以上、「マネジメントレビュー」についての解説でした!

認証パートナーは、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。
無料相談も承っておりますので、いつでもお気軽にお問い合わせくださいませ。

\ お問い合わせフォームはこちら /
WEBお問い合わせ

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。