このエントリーをはてなブックマークに追加 LINEで送る

皆さん、Pマークのルールを運用する上で「運用の確認」はしっかり実施していますか。

実は意外と忘れられがちなこの「運用の確認」について、今回は少し触れてみたいと思います。

運用の確認って何?

そもそも、運用の確認って何なのでしょうか。少し規格を見てみましょう。

JISQ15001:2006の3.7.1では「PMSが適切に運用なされているかを定期的に確認する」ことが要求されています。

これだけ読むと、内部監査と何が違うの?と感じる方もいるかと思いますが、明確に違っています。

内部監査は、内部監査員が客観的に「PMSが適切に運用されているか」を確認・監査するものになります。

かたや、この「運用の確認」は自主点検のようなものです。

自分、もしくは自部門がやらなければならないことをちゃんと実施したか、セルフチェックする仕組みだと考えてください。

つまり、セルフチェックを定期的に実施することが規格の3.7.1で求められているわけです。

どういう単位でチェックするの?

チェックする単位は会社規模によって様々です。

基本的には、個人情報保護管理者と会社、もしくは部門が対象になると考えてください。

小さい会社であれば、個人情報保護管理者が一枚のチェックリストに確認しなければならない事項をすべてまとめて、一括でチェックを実施してOKです。

ある程度会社規模が大きかったり、拠点が複数分かれていたりする場合は、各部門もしくは各拠点単位での実施が必要となってきます。

やはり、規模が大きい会社だと個人情報保護管理者だけですべてチェックすることは不可能ですし、拠点が複数ある場合、各拠点の運用状況の確認は拠点責任者に委ねるのが最善です。

Pマークの仕組みは全社で行うものになりますので、個人情報保護管理者がいる拠点だけが運用やチェックをしっかり行っていても全く意味がありません。

何をチェックするの?

では、一体何をセルフチェックするのかというと、ちゃんとルールが守られているかという点です。

ですので、各部門や拠点については安全管理のルールをベースにチェックリストを作り、セルフチェックをしてもらえればOKです。

このとき、内部監査で使用するチェックリストほど細かなチェックは不要です。

会社として確認が重要と判断できるものや、残している記録類で確認・承認が必要となってくるものを中心にピックアップしてもらえればと思います。

また、個人情報保護管理者の運用確認においては、年次の見直し事項もチェックリストに含めてもらって問題ありません。

「個人情報管理台帳の見直しは完了したか」「教育は全員終了したか」といった点を、マニュアルで定めた月にチェックすれば、実施漏れやリマインドのツールとしても活用可能です。

このエントリーをはてなブックマークに追加 LINEで送る

Pマークにおける「運用の確認」ってなに?「内部監査」との違いは?

カテゴリー: プライバシーマーク

皆さん、Pマークのルールを運用する上で「運用の確認」はしっかり実施していますか。

実は意外と忘れられがちなこの「運用の確認」について、今回は少し触れてみたいと思います。

運用の確認って何?

そもそも、運用の確認って何なのでしょうか。少し規格を見てみましょう。

JISQ15001:2006の3.7.1では「PMSが適切に運用なされているかを定期的に確認する」ことが要求されています。

これだけ読むと、内部監査と何が違うの?と感じる方もいるかと思いますが、明確に違っています。

内部監査は、内部監査員が客観的に「PMSが適切に運用されているか」を確認・監査するものになります。

かたや、この「運用の確認」は自主点検のようなものです。

自分、もしくは自部門がやらなければならないことをちゃんと実施したか、セルフチェックする仕組みだと考えてください。

つまり、セルフチェックを定期的に実施することが規格の3.7.1で求められているわけです。

どういう単位でチェックするの?

チェックする単位は会社規模によって様々です。

基本的には、個人情報保護管理者と会社、もしくは部門が対象になると考えてください。

小さい会社であれば、個人情報保護管理者が一枚のチェックリストに確認しなければならない事項をすべてまとめて、一括でチェックを実施してOKです。

ある程度会社規模が大きかったり、拠点が複数分かれていたりする場合は、各部門もしくは各拠点単位での実施が必要となってきます。

やはり、規模が大きい会社だと個人情報保護管理者だけですべてチェックすることは不可能ですし、拠点が複数ある場合、各拠点の運用状況の確認は拠点責任者に委ねるのが最善です。

Pマークの仕組みは全社で行うものになりますので、個人情報保護管理者がいる拠点だけが運用やチェックをしっかり行っていても全く意味がありません。

何をチェックするの?

では、一体何をセルフチェックするのかというと、ちゃんとルールが守られているかという点です。

ですので、各部門や拠点については安全管理のルールをベースにチェックリストを作り、セルフチェックをしてもらえればOKです。

このとき、内部監査で使用するチェックリストほど細かなチェックは不要です。

会社として確認が重要と判断できるものや、残している記録類で確認・承認が必要となってくるものを中心にピックアップしてもらえればと思います。

また、個人情報保護管理者の運用確認においては、年次の見直し事項もチェックリストに含めてもらって問題ありません。

「個人情報管理台帳の見直しは完了したか」「教育は全員終了したか」といった点を、マニュアルで定めた月にチェックすれば、実施漏れやリマインドのツールとしても活用可能です。

Author: 吉村 健
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • google+に追加
  • LINEでシェアする