本記事では、プライバシーマーク(Pマーク)取得および維持における「運用の確認」について解説します。特に、「運用の確認」の意義と方法、不具合発見時の対処法、内部監査との違いなどを知りたい方向けの内容となっています。
プライバシーマーク事業者が行う「運用の確認」と「内部監査」には以下のような違いがあります。
目次
運用の確認
目的
自主的な点検を行い、自部門や個人がプライバシーマーク(PMS)の規定に沿って適切に業務を遂行しているかを確認することを目的としています。
実施者
主に自分または自部門の担当者が行います。
特徴
セルフチェックに近く、日常的に実施されるもので、規模が小さい企業では個人情報保護管理者が全てをチェックする場合もあります。確認頻度やチェック項目は、企業ごとに定めることができ、毎月、3か月に一度、半年に一度といった間隔で行っても問題ありません。
内部監査との大きな違いは、内部監査は内部監査は、内部監査員が客観的に「PMSが適切に運用されているか」を確認・監査する一方で運用の確認は自部門がやらなければならないことをちゃんと実施したか、セルフチェックする仕組み、いわば自主点検のような位置づけとなります。
内部監査
目的
個人情報保護マネジメントシステムが事業者の規定やJIS規格に適合しており、かつ有効に運用されているかを客観的に確認することを目的としています。Pマークで求められている下記の2点を内部監査でも主に見ていくことになります。
・Pマークに準拠した社内ルールが策定されているか。
・上記の社内ルールが現場できちんと運用されているか(守られているか)
実施者
指定された個人情報保護監査責任者と内部監査員が行い、独立した立場から客観的に評価します。これらの両役割とも資格などは不要で、個人情報保護監査責任者は代表者が選抜し、内部監査員は個人情報保護監査責任者が選抜します。
基本的には内部監査員が内部監査を行い、個人情報保護監査責任者に報告するという流れになります。
対象者
内部監査の対象者は、「個人情報保護管理者」と「各部署」です。
特徴
内部監査は少なくとも年に1回行われ、構築・運用指針に定められた項目に対しての適合性と運用状況を確認する必要があります。
いずれもプライバシーマークの適切な運用を維持するための重要なプロセスですが、「運用の確認」は日常的なセルフチェックであり、「内部監査」はより公式で客観的な評価を求められるプロセスです。詳しくは、JIPDECのガイドラインで確認できます。
運用の確認の進め方
運用の確認は具体的には、次の手順で行います。
- 定期的に点検を行う項目を決め、記録に残すための「点検項目一覧表」を作成する
- 定期的な点検を実施する/させる(通常は1か月に1回)
- 点検結果を個人情報保護管理者に報告して確認してもらう
日常的に「運用の確認」を行っておくことで、PMSの運用を精緻化できて、Pマークの更新審査にも問題なくクリアできるでしょう。
運用の確認でチェックすべき項目
チェック対象は会社の規模や状況により異なりますが、下記のようなものを上げることができます。
- オフィスの出入口の開錠施錠記録が正しくつけられているかどうか
- USBメモリの持出管理表が更新されているかどうか
- 主要な業務システムのアクセスログの確認(ログインの成功と失敗の件数)
- 途中入社者に対する個人情報保護教育の実施状況
などです。
運用の確認で不適合を発見したら?
原因を特定して対応策(是正処置といいます)を実施して記録することが必要です。場合によっては教育資料を書きかえて社員に再周知することも必要になるでしょう。
例えば、ある企業で個人情報を含む書類が適切に施錠されず、誰でもアクセスできる状態になっていたことが、運用チェック時に見つかったとして対策手順を説明します。
1. 原因を分析する
まずは、問題が発生した原因を調査します。このケースでは、担当者がポリシーの詳細を誤解していたことが原因であり、さらに施錠が義務付けられていることが十分に周知されていなかったことが判明したことにしましょう。
2. 是正処置を実施する
問題の原因を解決するため、すべての従業員に対する再教育を実施し、個人情報の適切な取り扱い方法を再確認させます。また、施錠を義務化するためのチェックリストを導入し、毎日の業務終了時に施錠確認を行うこととしました。
3. 記録を文書化する
是正措置の内容と実施結果を文書化し、次回の内部監査で確認できるようにします。どのような再教育プログラムを行ったのかの詳細や施錠確認チェックリストの導入状況を記録するようにしましょう。
4. 経過観察してプロセスを再評価する
是正措置後、数週間にわたって経過観察を行い、問題が解決されたかどうかを評価します。もし、施錠のチェックリストが使用されていなかったり、チェックリストを用いても個人情報が誰でもアクセス可能になっていたら、さらに改善策を追加しなければなりません。
このように、運用の確認で発見した不適合に対して是正処置を行えば、個人情報保護の体制を強化することができます。
まとめ
この記事では、プライバシーマークの審査で求められる「運用の確認」の実行方法について解説してきました。PMSが適切に機能しているかどうかを確認するためには、日常的に「運用の確認」を行う必要があります。
もしチェックリストの作成で迷った場合は、オプティマ・ソリューションズに気軽にご相談ください!
Pマーク取得のご相談ならオプティマ・ソリューションズへ!
弊社は創業後の20年間で3,500件を超える支援を行ってきました。さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
- 弊社ではPマーク認証の取得・更新をする以上に、貴社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからPマーク認証を取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
