更新への本音質問
過去に相談を受けた内容を公開します。是非、ご参考にしてください。
コメントは情報提供を目的として弊社の見解を示すものであることをご理解ください。
情報の正確性・完全性について保証するものではありません。
コメントは現時点でのものであり、今後変更される場合がございます。
事例を含めた、わたくしの考え方です。
特定した個人情報の重要性単位で運用確認の頻度を行うことがベストと考えています。
例えば、受託で個人情報の処理を行っている企業で、クライアントから支給された個人情報がもっとも重要な個人情報のため、毎月運用の確認を行っている企業もあります。この企業の場合、受託処理する以外の部署は3ヶ月単位での点検となっています。
個人情報の重要性、漏洩などの問題発生時の経営ダメージと合わせ(損失の把握)、運用確認の頻度を定められることが良いかと思います。
Pマーク運用において実施しなければならないことは以下となります。
言い換えれば、以下を含んだ年間計画書を作成する必要があります。
3.3.1 個人情報の特定
3.3.3 リスクなどの認識・分析及び対策
3.4.3.4 委託先の監督
3.4.5 教育
3.7.1 運用の確認
3.7.2 監査
3.9 代表者による見直し
なお、計画に沿って、各項目を実施したことを証明するために
エビデンスについてが必要となります。
弊社の代行サービスに実施内容と記録例を記載しておりますので参考にしてください。
まず、現状の運用できなかった問題点を整理してください。整理のあと、新たな仕組みづくりに時間を割いてください。くれぐれも記録の捏造など過去を振り返る作業はしないでください。審査機関へは、今回の問題点の洗い出しから改善までの内容を報告書してまとめ、現地審査の際にすべてを正直にお話することが良いかと思います。
企業の経営活動において「組織の変化」、「業務内容の変化」、「オフィス環境の変化」は無かったでしょうか?また、リスクが多様化、複雑化する現代社会においてリスク評価の結果はどのようになりましたでしょうか?1年前と全く同じ結果ということは無いと思います。
審査機関側からすれば、一度もPMSの更新を行っていないことを確認した場合、「JIS規格にそった適切なPMS運用を行っていない」と指摘する可能性はおおいに考えられます。
プライバシーマーク制度は、あくまでもJISQ15001への準拠のため、審査基準が切り上がるということは無いと考えます。
ただし、個人情報の漏洩事故が相次いでいることもあり、リスクへの対策としてのセキュリティレベルについては高いものが要求される可能性が高いと思います。
委託先の評価は毎年行う必要があります。委託先の運用確認や、内部監査と関連づけて委託先チェックを行うことが良いかと考えます。
はじめてのPマーク認証時の教育はプライバシーマーク導入研修として、「Pマークとは」「PMSとは」「個人情報保護とは」といった基礎的な教育が行われたと思います。
しかし、PMSではスパイラルアップが求められているので、同じ教育を続けて実施することは“NG”です。教育は階層別に(たとえば管理者、一般社員、パートアルバイトぐらいに分けることがベターかと思います)、役職や職務に応じた内容で、啓蒙研修と実際の日々の業務における教育を行うことが必要と考えています。
