個人情報保護マネジメントシステム(PMS)のPDCAサイクルを徹底解説!<Check編>
yamashita
2018年06月27日
カテゴリ:プライバシーマーク

こんにちは。

個人情報保護マネジメントシステム(PMS)のPDCAサイクルを徹底解説!<Do編>」の続きです。

前回はPDCAサイクルの「D」についてお伝えしましたので、今回はPDCAサイクルの「C」についてお伝えします。

Check:点検、確認

個人情報保護マネジメントシステムにおけるPDCAサイクルの「C」は、「Check」を指します。

簡単にいうと個人情報保護マネジメントシステムの運用面で問題がないかどうかを確認することです。

個人情報保護マネジメントシステムにおいては、「運用の確認」と「監査」という、大きく分けて2種類の確認があります。

運用の確認

「運用の確認」は、その名のとおり日常的な運用確認を指します。

個人情報保護マネジメントシステム運用におけるNG事項を早期発見し、情報漏えいなどの芽を摘むことが期待できます。

例えば、クリアデスクができていない場合、他の従業員が机上の情報を持ち出すことは容易ですよね。そういった事項を早期に発見し、改善を促すことで情報漏えいを未然に防ぐことができます。

ポイントは、次に紹介する「監査」とは違って、セルフチェック(同部署の人間などによるチェック)であることです。

具体的な運用の確認方法ですが、例えば、簡易的なチェックリストと項目を作成し、それを基に見回って確認するといったことが一般的です。

月に最低1回は運用確認を実施し、記録を残しましょう。

監査

個人情報保護マネジメントシステムに対する監査を実施します。

なお、監査を実施する際に気をつけてほしい点は、下記の4つです。

  • 年に一度、第三者によるチェックが必要になる
  • 監査責任者の任命が必要になる
  • チェックリストと監査計画書の準備が必要になる
  • 監査は全部門が対象になる
  • 監査後の報告、改善、フォローが必要になる

年に一度、第三者によるチェックが必要になる

監査は、上記の「運用の確認」とは違い、第三者によるチェックが必要となります。

例えば、A部署とB部署が会社に存在する場合、A部署がA部署の監査、B部署がB部署の監査を実施すると、第三者チェックとは言えないですよね。

この場合は、A部署の監査をB部署が、B部署の監査をA部署が実施することで監査とみなされます。

なお、プライバシーマークでは、最低年1回は監査を実施することが求められているので、「毎年4月に監査を実施する」などと決めておくと効率的です。

監査責任者の任命が必要になる

監査の実施に当たっては、社内で監査責任者を任命しなければなりません。

ただし、監査責任者さえ社内で任命してしまえば、実際に監査を実施するのは社外の人間でも問題ありません。

なお、社長は監査責任者にはなれないので、注意する必要があります。

チェックリストと監査計画書の準備が必要になる

監査を実施する際には、何をチェックしたか明確に判断できるようにするためのチェックリストと、監査計画書を必ず作成する必要があります。

監査計画書を作成せずに突発的に監査を実施する、というようなことはNGですので、ご注意ください。

監査は全部門が対象になる

監査の対象は会社の全部門になります。

特定の部門だけを監査しても監査をおこなったとはみなされないので、注意が必要です。

監査後の報告、改善、フォローが必要になる

監査が終了した後は、報告書を作成し、社長に報告しなければなりません。

また、NG事項が発見された場合は、早急な改善を実施し、可能であればフォローアップ監査をおこなうことが望ましいです。

ここまでがPDCAサイクルの「C」に当たります。

次回はPDCAの「A」について解説していきたいと思います。

それでは!

カテゴリー: プライバシーマーク

個人情報保護マネジメントシステム(PMS)のPDCAサイクルを徹底解説!<Check編>

こんにちは。

個人情報保護マネジメントシステム(PMS)のPDCAサイクルを徹底解説!<Do編>」の続きです。

前回はPDCAサイクルの「D」についてお伝えしましたので、今回はPDCAサイクルの「C」についてお伝えします。

Check:点検、確認

個人情報保護マネジメントシステムにおけるPDCAサイクルの「C」は、「Check」を指します。

簡単にいうと個人情報保護マネジメントシステムの運用面で問題がないかどうかを確認することです。

個人情報保護マネジメントシステムにおいては、「運用の確認」と「監査」という、大きく分けて2種類の確認があります。

運用の確認

「運用の確認」は、その名のとおり日常的な運用確認を指します。

個人情報保護マネジメントシステム運用におけるNG事項を早期発見し、情報漏えいなどの芽を摘むことが期待できます。

例えば、クリアデスクができていない場合、他の従業員が机上の情報を持ち出すことは容易ですよね。そういった事項を早期に発見し、改善を促すことで情報漏えいを未然に防ぐことができます。

ポイントは、次に紹介する「監査」とは違って、セルフチェック(同部署の人間などによるチェック)であることです。

具体的な運用の確認方法ですが、例えば、簡易的なチェックリストと項目を作成し、それを基に見回って確認するといったことが一般的です。

月に最低1回は運用確認を実施し、記録を残しましょう。

監査

個人情報保護マネジメントシステムに対する監査を実施します。

なお、監査を実施する際に気をつけてほしい点は、下記の4つです。

  • 年に一度、第三者によるチェックが必要になる
  • 監査責任者の任命が必要になる
  • チェックリストと監査計画書の準備が必要になる
  • 監査は全部門が対象になる
  • 監査後の報告、改善、フォローが必要になる

年に一度、第三者によるチェックが必要になる

監査は、上記の「運用の確認」とは違い、第三者によるチェックが必要となります。

例えば、A部署とB部署が会社に存在する場合、A部署がA部署の監査、B部署がB部署の監査を実施すると、第三者チェックとは言えないですよね。

この場合は、A部署の監査をB部署が、B部署の監査をA部署が実施することで監査とみなされます。

なお、プライバシーマークでは、最低年1回は監査を実施することが求められているので、「毎年4月に監査を実施する」などと決めておくと効率的です。

監査責任者の任命が必要になる

監査の実施に当たっては、社内で監査責任者を任命しなければなりません。

ただし、監査責任者さえ社内で任命してしまえば、実際に監査を実施するのは社外の人間でも問題ありません。

なお、社長は監査責任者にはなれないので、注意する必要があります。

チェックリストと監査計画書の準備が必要になる

監査を実施する際には、何をチェックしたか明確に判断できるようにするためのチェックリストと、監査計画書を必ず作成する必要があります。

監査計画書を作成せずに突発的に監査を実施する、というようなことはNGですので、ご注意ください。

監査は全部門が対象になる

監査の対象は会社の全部門になります。

特定の部門だけを監査しても監査をおこなったとはみなされないので、注意が必要です。

監査後の報告、改善、フォローが必要になる

監査が終了した後は、報告書を作成し、社長に報告しなければなりません。

また、NG事項が発見された場合は、早急な改善を実施し、可能であればフォローアップ監査をおこなうことが望ましいです。

ここまでがPDCAサイクルの「C」に当たります。

次回はPDCAの「A」について解説していきたいと思います。

それでは!

Author: 山下 雄輝
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • google+に追加
  • LINEでシェアする