本記事では、プライバシーマーク(Pマーク)取得および維持における「運用の確認」について解説します。特に、「運用の確認」の意義と方法、不具合発見時の対処法、内部監査との違いなどを知りたい方向けの内容となっています。
プライバシーマークの「運用の確認」とは?
運用の確認とは、個人情報保護マネジメントシステム(PMS)が適切に機能しているかを確認するプロセスです。定期的に点検を実施し、その結果を管理者に報告することで、PMSの運用を向上させ、Pマークの更新審査にもスムーズに対応できます。
具体的には、次の手順で行います。
- 定期的に点検を行う項目を決め、記録に残すための「点検項目一覧表」を作成する
- 定期的な点検を実施する/させる(通常は1か月に1回)
- 点検結果を個人情報保護管理者に報告して確認してもらう
日常的に「運用の確認」を行っておくことで、PMSの運用を精緻化できて、Pマークの更新審査にも問題なくクリアできるでしょう。
運用の確認でチェックすべき項目
チェック対象は会社の規模や状況により異なりますが、下記のようなものを上げることができます。
- オフィスの出入口の開錠施錠記録が正しくつけられているかどうか
- USBメモリの持出管理表が更新されているかどうか
- 主要な業務システムのアクセスログの確認(ログインの成功と失敗の件数)
- 途中入社者に対する個人情報保護教育の実施状況
などが考えられるでしょう。
「運用の確認」と「内部監査」の違い
運用の確認は、通常毎月行われるセルフチェックです。自らの運用状況を自ら確認するのが運用の確認と言えましょう。
一方で、内部監査は、年1回だけ行われるもので、他組織の監査担当者によって行われます。第三者の目で客観的に確認するのが内部監査と言えましょう。
運用の確認で不具合が発見された場合の対処法
運用の確認で不具合が発見された場合、単純に是正処置を講じます。これにより、原因を特定し再発防止策を実施し、安全なPMSへと見直すことが可能となります。不具合発見後は適切に処置を行い、記録を残しておくことが重要です。
まとめ
本記事では、プライバシーマークの審査で求められる「運用の確認」の実行方法について解説してきました。PMSが適切に機能しているかどうかを確認するためには、日常的に「運用の確認」を行う必要があります。
もしチェックリストの作成で迷った場合は、オプティマ・ソリューションズに気軽にご相談ください!
