Pマークにおけるマネジメントレビューについて分かりやすく解説！

「マネジメントレビューでは何を評価するの？」

「なぜ重要なの？」

このようにお考えの企業担当者様も多くいらっしゃるのではないでしょうか。

マネジメントレビューとは、企業や組織の経営層が個人情報保護マネジメントシステムを見直す活動のことです。

マネジメントレビューを行うことで、経営層は適切な意思決定をすることができ、経営戦略や経営改善に役立つことが期待できます。

ここでは、Pマークにおけるマネジメントレビューについて、大まかな概要と評価内容、メリットも含めてご紹介します。

本コラムを読み終えていただければ、マネジメントレビューがどういうものか要点をつかむことができ、企業体制をより強化できる手がかりとなるでしょう。

1.Pマークにおけるマネジメントレビューとは

マネジメントレビューとは、企業や組織の経営層が個人情報保護マネジメントシステムを見直す活動のことです。

企業や組織で採用している管理システムが、適切に機能しているか、また改善が必要な部分はどこなのかを確認し判断します。

このPマークにおけるマネジメントレビューでは、経営層へ個人情報に関する報告（インプット）を行い、経営層が指示（アウトプット）を出します。

インプットの内容は個人情報管理者やPマーク担当者が中心となって情報収集を行います。

以下より、インプット内容とアウトプット内容を一部ご紹介します。

（1）インプット内容

• 前回までのマネジメントレビューの結果、とられた措置の状況
• 外部および内部の問題点の変化
• 監査の結果などを踏まえたマネジメントシステムの運用状況の評価
• 利害関係者のからのフィードバック
• リスクアセスメントの結果やリスク対応計画の状況
• 継続的改善の機会

（2）アウトプット内容

• 継続的な改善の機会
• 個人情報保護マネジメントシステム変更の必要性に関する決定

2.マネジメントレビューの重要性

個人情報保護マネジメントシステムを適切に運用していくためには、「ヒト・モノ・カネ」が必要不可欠です。

経営層には、必要な情報をインプットし、また適切なアウトプットを行うなどの確実な意思決定が求められます。

そのため、マネジメントレビューは、Pマークの取得・維持において非常に重要な過程です。

以下に、重要となる点について3つご紹介します。

（1）継続的な改善

個人情報の保護に関する制度や法令、技術などは時代によって変化し続けます。

定期的にマネジメントレビューを行うことで、最新の法令やリスクに対応するための改善策を見つけ、実施体制を整えることができます。

（2）経営層の関与について

Pマークにおいては、個人情報保護が経営戦略の一部として取り入れられていることが重要な鍵となります。

マネジメントレビューは、経営層が個人情報保護の重みを再確認し、企業全体での取り組みを強化する機会を提供しているのです。

（3）審査の際の必須となる要件

Pマークの審査の過程においては、マネジメントレビューが適切に行われているかがチェックされます。

このチェックによって、企業が定期的にシステムの有効性を確認し、改善が行われていることを証明しています。

3.マネジメントレビューでの評価内容について

マネジメントレビューでは、企業全体で個人情報保護の運用を見直します。

以下で主な評価内容についてご説明いたします。

（1）個人情報保護方針及び目的の達成状況

マネジメントレビューでは、企業が設定した個人情報保護方針や目的がどれくらい達成されたかを確認します。

具体的には、以下の通りです。

• 個人情報保護に関する目的が効果的に機能されているか
• 方針に則った運用がされているか

（2）内部監査の結果

内部監査とは、個人情報保護体制が適切に運用されているかを確認するためのプロセスのことです。

マネジメントレビューにおいては、この内部監査で明らかになった問題点や改善点がどう対応されたかを確認します。必要であれば改善策も決定します。

（3）法令の遵守状況

個人情報保護に関係している法律や規制を守っているかどうかについてもマネジメントレビューで確認します。

ここでは、特に個人情報保護法や企業の活動地域に関連する法令が変更された場合、その対応が十分であるかを評価しています。

（4）リスクとセキュリティ対策についての評価

ここでは、個人情報保護に関するリスクを見直し、そのリスクに対するセキュリティ対策が効果的かを評価します。

新しいリスクが生じた際は、リスク管理の見直しや追加の対策が必要となる場合もあるので、その必要性についても判断します。

（5）インシデントの対応状況

個人情報に関して、発生した情報漏洩などのインシデントが適切に対応され、対策が十分に講じられているかを確認します。

対策の部分では、特に、再発防止策が効果的に実施されているかが評価されます。

4.マネジメントレビューでの事前準備

マネジメントレビューを行う前に、レビューをする上で必要な情報を整理し、関係者へ共有しましょう。

事前準備としては、以下5つの資料を揃える必要があります。

• 個人情報保護方針や目的の達成状況データ
• 内部監査の結果
• リスク評価の結果
• インシデントの記録
• 法令改正に関する情報

上記の資料を基に、個人情報保護体制を把握することが非常に大切です。

5.マネジメントレビューのメリット

マネジメントレビューを行うことで得られるメリットについて2つご紹介します。

（1）問題点やリスクの認識

マネジメントレビューは、経営層と「問題点やリスクを共有する」ことが可能です。

今日の経営環境は、世界情勢やIT、法令要求など日々変化しており、マネジメントシステムで取り組むべき事項も変化しています。

そのような状況で、経営層に問題点やリスクを報告し、問題点の対応をしながら事業を展開するのか、リスクを受容しつつ将来的な予算化を計画するのかといった経営判断の基礎を築くことができます。

（2）経営戦略や経営改善に役立つ

マネジメントレビューは、現在のサービスの提供を把握し、業務品質を改善して事業目的の達成可能性を高める狙いがあります。

これは、まさしく「経営戦略」の一部と言えるでしょう。

経営の改善を図る機会を自発的に作り出すという意味でもマネジメントレビューは有効な活動です。

この他にも、顧客満足度の向上につながったり、外部審査への対応力が上がったりなどのメリットもあります。

これらのメリットを正しく理解しておくことで、レビューを有効な手段として活用できるのです。

6.まとめ

マネジメントレビューとは、企業や組織の経営層が個人情報保護マネジメントシステムを見直す活動のことです。

個人情報保護マネジメントシステムを適切に運用していくためには、「ヒト・モノ・カネ」が必要不可欠です。

経営層には、必要な情報をインプットし、また適切なアウトプットを行うなどの確実な意思決定が求められます。

情報セキュリティの強化と個人情報保護の信頼性を保つために、定期的なマネジメントレビューを行い、常に改善を続けることが大切です。

効果的にマネジメントレビューを実施するには、正確なインプットと適切なアウトプットが重要ですので、「なぜやるのか」といった目的をあらかじめ明確にしておきましょう。