2019年7月27日
今回は、Pマーク(プライバシーマーク)を取得、運用する際に必ず必要となる、「事業者の代表者による見直し」について詳しくお話しさせて頂きます。
Pマーク(プライバシーマーク)の要求事項
Pマーク(プライバシーマーク)の要求事項(JIS Q 15001)は下記のように記されています。
事業者の代表は、個人情報の適切な保護を維持するために、定期的に個人情報保護マネジメントシステムを見直さなければならない。
事業者の代表者による見直しにおいては、次の事項を考慮しなければならない。
・監査及び個人情報保護マネジメントシステムの運用状況に関する報告
・苦情を含む外部からの意見
・前回までの見直しの結果に対するフォローアップ
・個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況
・社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化
・事業者の事業領域の変化
・内外から寄せられた改善のための提案」
この要求事項の概要としては、「より良い個人情報保護マネジメントシステムとするため、a)~g)の事項を材料に、現状を前提としないで見直すことを要求している。」と、記述されています。
つまり、「事業者の代表者はa)~g)の事項を参考に見直しを行って下さいね。」と、いうことです!
ここで注目すべきことは、以下の三点です。
①少なくとも年に1回は実施するよう記述していること
②実質的な経営判断が求められているということ
③アウトプットに関しては特に指定されていないということ
①少なくとも年に1回は実施するよう記述していること
まず、①少なくとも年に1回は実施するよう記述していることに関してですが、この項目「3.9事業者の代表者による見直し」ではほかの項目とは少し違う表現がなされています。
それが今回のポイントです。
それとは、〝少なくとも年に1回〟と記述されているということです。
〝少なくとも年に1回〟つまり、ここで言いたいことは「年に1度定期的に実施するだけではなく、必要に応じて不定期でも実施していきましょうね。」ということです!
この項目はこの後の②でもお話させていただくのですが、あくまで事業者の代表による経営の見直しなのです。
おそらく年に一回ではすこし他の項目よりも面倒に思う人がいるかもしれません。
ですが、ご安心ください!!発想を逆転してみましょう。
〝少なくとも年に1回〟実施していればいいのです。
つまり、年に1回さえ実施されていればとやかく言われることはないということです(笑)
できれば実施されていると望ましいですねくらいですね。
②実質的な経営判断が求められているということ
続いて、②実質的な経営判断が求められているということに関してですが、①でも少しふれたようにあくまで事業者の代表による経営の見直しということです。
この項目「3.9事業者の代表者による見直し」では3.8「是正処置及び予防処置」で述べられている、是正について事業者が承認することとは少し違ったものが求められます。
「3.9事業者の代表者による見直し」では実質的な経営判断が求められているということです。
つまり、要求事項のa)~g)の事項を含んだ内容で実際に自社ではどんなことが必要かを事業者の経営者は判断してくださいねと言っているのです。
ここでのポイントとしては、判断が求められているだけであるということです!
それが、注意するべきことの3つ目にあたります。
③アウトプットに関しては特に指定されていないということ
最後の項目です。
③アウトプットに関しては特に指定されていないということに関してお話いたします。
この「3.9事業者の代表者による見直し」では見直しのインプットとしてa)~g)の事項を含めて規定していることに関してしか述べられておらず、アウトプットに関しては特に述べられていません。
つまり、極端に言えば全く的外れなアウトプットでも問題はないということになります!
例えば、インプットとして「作業のクオリティに問題があり外部から意見があった」というものがあったとする。そのアウトプットとして、「最近太り気味だからしばらくはラーメンを控える」というものでも要求には応えていることになります(笑)
まあ、一般的に考えて問題なので審査員からの評価はよくないでしょうね(笑)
そしてもう一つ、伝えたいことがあります。
それは、必ずしも要求事項のa)~g)の項目すべてを見直しの材料にする必要はないということです!
分かりやすいように例を出しますと、要求事項のa)監査及び個人情報保護マネジメントシステムの運用状況に関する報告に関してアウトプットが特にない場合、「特になし。」と、記述しても問題ないのです!
まとめ
いかがでしょうか。
要求事項をよく読んで、解釈の方法を変えてみると意外と面白い場面が出てくることもあります。
こんなんでいいの?と突っ込みを入れながら要求事項を解釈していけると面白いですよね。
また、改めて要求事項を読んでいると新しい発見をすることがあるかもしれませんね。
\ お問い合わせフォームはこちら /
WEBお問い合わせ
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜18:30
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!
相談予約は
こちらから
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ