１．マネジメントレビュー要求事項と大まかな概要

マネジメントレビューとは組織における個人情報保護マネジメントシステム（個人情報を管理する仕組み）をトップマネジメントが見直す活動になります。

トップマネジメントに個人情報に関する報告（インプット）を行い、トップマネジメントが指示を出します。（アウトプット）

個人情報に関する報告（インプット）には以下の情報を考慮に入れるようにPマークで求められており、インプット内容は個人情報管理者やPマーク担当者が中心となり情報収集をします。

■インプット内容

・前回までのマネジメントレビューの結果、とった処置の状況

・個人情報保護マネジメントシステムに関連する外部及び内部の課題の変化

・次に示す傾向を含めた、個人情報保護パフォーマンスに関するフィードバック

・不適合及び是正処置

・監視及び測定の結果

・監査結果

・個人情報保護目的の達成

・利害関係者からのフィードバック

・リスクアセスメントの結果及びリスク対応計画の状況

・継続的改善の機会

トップマネジメントが出す指示（アウトプット）には以下の内容を含めることが求められています。

■アウトプット内容

・継続的改善の機会

・個人情報保護マネジメントシステムのあらゆる変更の必要性に関する決定

２．マネジメントレビューの役割

そのため、個人情報保護マネジメントシステムを適切に運用していくために必要な「ヒト・モノ・カネ」に関する内容がつきものです。

鍵付きキャビネットを購入したいが担当者では判断ができないといった場合に、トップマネジメントの意思決定が必要になります。トップマネジメントが購入に必要な情報をインプット・適切なアウトプットを行うために、マネジメントレビューが重要な役割を担うことになります。

現場の改善を行う場合、適切な判断をトップマネジメントが行うためにはインプット項目は具体的、かつ詳細に伝えなければなりません。

またトップマネジメントのアウトプットも忘れてしまわないように文書化し保持しなければなりません。

３．マネジメントレビューは「運用において必須の記録」

Pマーク運用をしていくうえで、マネジメントレビューの記録作成が必須となります。

マネジメントレビューの記録を含め、Pマークでは最低限以下の記録類の作成、更新、保持を求めてます。

マネジメントレビューの記録が残っていない場合、審査が打ち切りになる可能性もあるので気をつけましょう。

①個人情報管理台帳

組織の個人情報の一覧となるもので、取得方法や保管方法等の記載が必須となります。

②法令一覧表

業務に関わる個人情報に関する法令、ガイドラインを閲覧できるように、特定します。

③リスク分析表

個人情報管理台帳に記載の個人情報の取り扱いに関して個人情報保護リスクを特定し、分析し、対策を講じなければなりません。

④委託先の記録

個人情報を委託している会社に対し、適切に個人情報を管理しているか評価しなければなりません。評価した記録が残っているか、適切な契約を交わしているかチェックします。

⑤認識/教育

Ｐマークでは個人情報に関する教育を最低年１回以上実施するよう求められています。

教育の内容に含めなければならない項目があるため、注意が必要です。

⑥運用の確認結果

個人情報保護マネジメントシステムが適切に運用されているか、部門及び階層において定期的なチェックを行います。

⑦内部監査

社内の個人情報保護マネジメントシステムにおける適合状況、運用状況をチェックするための計画、結果が必要になります。

⑧マネジメントレビュー議事録

社内の個人情報保護マネジメントシステムがうまく機能しているかトップマネジメントに報告する必要があります。インプット・アウトプット事項を文書化することが求められています。

⑨是正処置の結果

内部監査での指摘事項や、情報漏洩事故を起こしてしまった場合になぜ起こったのか、どのように対応していくかを記録する必要があります。

４．Pマーク審査時に見られるポイント

Ｐマークの審査では以下3つの項目がチェックされます。

①マネジメントレビューを実施した記録が直近１年間以上保管されているか

②規格要求事項（本コラム１.マネジメントレビュー要求事項と大まかな概要で紹介したインプットアウトプット）の記載があるか

③インプットやアウトプットが適切に記載されているか

本コラムの１に記載しているとおり、インプット項目、アウトプット項目が決まっているため、事前にチェックすると良いでしょう。

５．マネジメントレビューの書き方（記載例）

一つの例ですが、マネジメントレビューの結果を以下のように記載している企業が多いです。

《インプット》

■監査及び個人情報保護マネジメントシステムの運用状況に関する報告

内部監査で指摘1つ。

個人情報を含む重要情報が保管されているキャビネットが施錠できないことが発覚した。

■ 苦情を含む外部からの意見

苦情はなし。メール誤送信等のリスクが高まっているので、防止ツールを導入してほしいとの声が主要顧客との打ち合わせ時にあった。

■ 前回までの見直しの結果に対するフォローアップ

前回のアウトプットに対して〇〇のように対応を実施した。

■ 個人情報の取扱いに関する法令，国の定める指針その他の規範の改正状況

法令の変更があったため変更点を抜粋し、社内報にて社内周知を実施した。

■ 社会情勢の変化，国民の認識の変化，技術の進歩などの諸環境の変化

リモートワークが加速し、使用するクラウドツールをクオリティやコスト、使いやすさ、セキュリティ面を考慮し新しいツールを導入した。

■ 組織の事業領域の変化

今年度より〇〇という新しい業務を開始したため扱う個人情報は個人情報管理台帳に特定しリスク分析を実施。対策は全従業者への周知を行った。

■ 内外から寄せられた改善のための提案

SNSなどに仕事の内容を掲載し苦情をいただく企業が増えているので、社内でもSNS勉強会など開いてほしいと従業員から要望がある。

《アウトプット》

■継続的改善の機会

内部監査で発見された不適合に関して、鍵付きキャビネットを購入し書類を保管すること。

購入計画や時期などは別途計画を立てトップマネジメントの承認を得ること。

■個人情報保護マネジメントシステムのあらゆる変更の必要性

新しい業務を開始し発生する個人情報の取り扱いが適切に行われているか、年2回以上内部監査を実施し確認を行うこと。

まとめ

Pマークのマネジメントレビューでは社内の個人情報保護マネジメントシステムの運用結果（内部監査や利害関係者からのフィードバック）をトップマネジメントへ報告し、成果や問題点を分析し、トップマネジメントからアウトプットを出し改善活動を行うことを指します。

トップマネジメントにインプットする内容はPマークの要求事項で決められている内容は最低限必須となり審査でもチェックされます。

トップマネジメントへの報告は会議の場が多く、その際にトップマネジメントにアウトプットしてもらうことが必須です。

ISO・Pマークについてのお悩みはありませんか？

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン
  相談予約

ISO・Pマークについてのお悩みはありませんか?

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン相談予約