今回は、「Pマーク(プライバシーマーク)における必要な役割と権限と責任」についてお話させていただきます。それでは、Pマーク(プライバシーマーク)の取得、運用のために役立つ基礎知識をご紹介いたします。

まずは必要となる役割設定について見ていきましょう。

マイナンバーの役割設定

まず最近の審査員からの指摘事項で多くなっているマイナンバーに関しての役割設定があります。

「行政手続における特定の個人を識別するための番号の利用等に関する法律」（番号法）が成立し（平成25年5月31日公布）、社会保障・税番号制度が導入され、平成27年10月から国民一人ひとりに個人番号が通知されたことは皆様記憶に新しく取扱いに悩まれているのではないでしょうか？
今年の源泉徴収票には必要になり今必死に従業員のマイナンバーを集めているなんてお話も聞きます。

要求事項3.3.4では個人情報の管理のための役割、責任及び権限を明確に定め、文書化することを求めています。

そしてマイナンバーに関してのガイドライン（特定個人情報ガイドライン）では特定個人情報等を取り扱う事務に従事する従業者（以下、「事務取扱担当者」という。）の明確化を求めています。
よって、プライバシーマーク(Pマーク)付与を受けようとする事業者は、事務取扱担当者の役割、責任及び権限を明確に定め、文書化する必要があると定めています。

簡単にいうと「個人情報保護マニュアルと体制図に特定個人情報の取扱い責任者と事務取扱責任者を代表者が任命し役割を明確すること」ということになります。

こちらは後程出てきますが個人情報保護管理者と兼務で行うことが出来ますが実際取扱う総務の方などを任命することが望ましいと考えられます。
また特定の人しか扱えないよう取扱う範囲や権限を設け不備のないように運用していくことが大切になります。

個人情報保護管理者の定義

次はプライバシーマーク(Pマーク)を取得するに当たって、必ず任命しなくてはならない役割、「個人情報保護管理者」のお話です。

JIS Q 15001:2006の規格では以下の通り定義されています。

「代表者によって事業者の内部の者から指名された者であって，個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限をもつ者」

1. 事業者の代表者から指名されること。
2. またその組織の内部の者であることが必須。（外部のコンサルタントとか専門家等は不可）。
3. 個人情報保護マネジメントシステムにおいて適法かつ適正に「実施および運用」することが求められている。

さらには、以下のような責任権限を持つことが求まれている。

「個人情報保護管理者」は，個人情報の取扱いに関する安全管理面だけではなく，組織全体のマネジメントを含む全体の管理者である。
「個人情報保護管理者」は，個人情報保護マネジメントシステム(PMS)を理解し，実施・運用できる能力をもった者でなければならない。
「個人情報保護管理者」は，当該事業者に係る個人情報の管理の責任者である性格上，いたずらに指名する者を増やし，責任が不明確になることは避けなければならない。したがって，事業部が複数あり個人情報保護管理者を複数名指名する場合には，当該者間での役割分担を明確にすることが求められる。
「個人情報保護管理者」は，社外に責任をもつことができる者（例えば，役員クラス）を指名することが望ましい。
「個人情報保護管理者」は，代表者による個人情報保護マネジメントシステム(PMS)の見直しに資するため，定期的に，又は適宜に，代表者にその実施状況を報告しなければならない。また「監査」と「見直し」がその役割に含まれてはならないとされている。

個人情報保護管理者の役割

大まかな役割としては、

①会社の個人情報の保護と利用に関する統括・管理
②個人情報の安全管理に関する規定
③個人情報保護管理者からの報告徴収と助言・指導
④個人情報の安全管理に関する教育・研修の企画
⑤その他会社全体における個人情報の安全管理に関すること

が考えられます。

つまり個人情報保護管理者は、個人情報保護マネジメントシステム(PMS)をJIS Q 15001の規格に従って確立し、実行し、維持すること。
またそれらを確実にすることでプライバシーマーク(Pマーク)を取得するための体制を推進する必要が有ります。

ただ、現状として中小企業の中には作業ベースの事務担当がなっているケースも多々見られます。
実務の負担を考えると管理職を当ててしまうことはリスクもあるのでしょう。

個人情報保護マネジメントシステム(PMS)を運営していく上で、各役割に対する責任や権限を予め規程化しておく必要があります。
JIS Q 15001の要求事項においても、これらは文書化し従業者に周知させることを求めています。

最低限としては、個人情報保護管理者と個人情報保護監査責任者となりますが、ここでは後者の個人情報保護監査責任者の役割についてご紹介します。

個人情報保護監査責任者

まずはじめは監査責任者にはどんな人が適任か資格としては以下のように定められています。

①社内の人間であること
※実施は社外のコンサルタントでも構いませんが、あくまで責任者は社内の人間の方であることが必須です。
②役員クラス、もしくは個人情報保護管理者と同格以上であること
③個人情報保護管理者ではないこと
※兼務ができません
④商法上の監査役ではないこと

上記①～④を踏まえて、プライバシーマーク(Pマーク)における監査責任者にふさわしい方を社内から選任してください。
役割としては毎年、全部署監査を実施し指摘事項を改善していくことが大きな任務となります。

プライバシーマーク(Pマーク)を運用していく中で、とても大切な部分です。
継続的改善こそが、個人情報保護体制をスパイラルアップさせていくカギを握っています。

この他にも、こんな時はどうしたらいいの？こんな場合は？ございましたら、認証パートナーまでお気軽にご相談いただければ幸いです。

＼ お問い合わせフォームはこちら ／
WEBお問い合わせ