Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

Pマーク(プライバシーマーク:JIS Q 15001) 3.9項「事業者の代表者による見直し」規格解釈

2019年7月27日

今回は、Pマーク(プライバシーマーク)を取得、運用する際に必ず必要となる、「事業者の代表者による見直し」について詳しくお話しさせて頂きます。

Pマーク(プライバシーマーク)の要求事項

Pマーク(プライバシーマーク)の要求事項(JIS Q 15001)は下記のように記されています。

事業者の代表は、個人情報の適切な保護を維持するために、定期的に個人情報保護マネジメントシステムを見直さなければならない。
事業者の代表者による見直しにおいては、次の事項を考慮しなければならない。

・監査及び個人情報保護マネジメントシステムの運用状況に関する報告
・苦情を含む外部からの意見
・前回までの見直しの結果に対するフォローアップ
・個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況
・社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化
・事業者の事業領域の変化
・内外から寄せられた改善のための提案」

この要求事項の概要としては、「より良い個人情報保護マネジメントシステムとするため、a)~g)の事項を材料に、現状を前提としないで見直すことを要求している。」と、記述されています。
つまり、「事業者の代表者はa)~g)の事項を参考に見直しを行って下さいね。」と、いうことです!

ここで注目すべきことは、以下の三点です。

①少なくとも年に1回は実施するよう記述していること
②実質的な経営判断が求められているということ
③アウトプットに関しては特に指定されていないということ

①少なくとも年に1回は実施するよう記述していること

まず、①少なくとも年に1回は実施するよう記述していることに関してですが、この項目「3.9事業者の代表者による見直し」ではほかの項目とは少し違う表現がなされています。
それが今回のポイントです。

それとは、〝少なくとも年に1回〟と記述されているということです。

〝少なくとも年に1回〟つまり、ここで言いたいことは「年に1度定期的に実施するだけではなく、必要に応じて不定期でも実施していきましょうね。」ということです!
この項目はこの後の②でもお話させていただくのですが、あくまで事業者の代表による経営の見直しなのです。

おそらく年に一回ではすこし他の項目よりも面倒に思う人がいるかもしれません。
ですが、ご安心ください!!発想を逆転してみましょう。

〝少なくとも年に1回〟実施していればいいのです。
つまり、年に1回さえ実施されていればとやかく言われることはないということです(笑)
できれば実施されていると望ましいですねくらいですね。

②実質的な経営判断が求められているということ

続いて、②実質的な経営判断が求められているということに関してですが、①でも少しふれたようにあくまで事業者の代表による経営の見直しということです。

この項目「3.9事業者の代表者による見直し」では3.8「是正処置及び予防処置」で述べられている、是正について事業者が承認することとは少し違ったものが求められます。
「3.9事業者の代表者による見直し」では実質的な経営判断が求められているということです。

つまり、要求事項のa)~g)の事項を含んだ内容で実際に自社ではどんなことが必要かを事業者の経営者は判断してくださいねと言っているのです。

ここでのポイントとしては、判断が求められているだけであるということです!
それが、注意するべきことの3つ目にあたります。

③アウトプットに関しては特に指定されていないということ

最後の項目です。
③アウトプットに関しては特に指定されていないということに関してお話いたします。

この「3.9事業者の代表者による見直し」では見直しのインプットとしてa)~g)の事項を含めて規定していることに関してしか述べられておらず、アウトプットに関しては特に述べられていません。

つまり、極端に言えば全く的外れなアウトプットでも問題はないということになります!

例えば、インプットとして「作業のクオリティに問題があり外部から意見があった」というものがあったとする。そのアウトプットとして、「最近太り気味だからしばらくはラーメンを控える」というものでも要求には応えていることになります(笑)

まあ、一般的に考えて問題なので審査員からの評価はよくないでしょうね(笑)

そしてもう一つ、伝えたいことがあります。
それは、必ずしも要求事項のa)~g)の項目すべてを見直しの材料にする必要はないということです!

分かりやすいように例を出しますと、要求事項のa)監査及び個人情報保護マネジメントシステムの運用状況に関する報告に関してアウトプットが特にない場合、「特になし。」と、記述しても問題ないのです!

まとめ

いかがでしょうか。

要求事項をよく読んで、解釈の方法を変えてみると意外と面白い場面が出てくることもあります。
こんなんでいいの?と突っ込みを入れながら要求事項を解釈していけると面白いですよね。

また、改めて要求事項を読んでいると新しい発見をすることがあるかもしれませんね。

\ お問い合わせフォームはこちら /
WEBお問い合わせ

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。