代表者による見直しの重要性
Pマーク取得時にはPMSの構築、運用、監査、不適合の是正などが必要となりますが、これらの総括として位置づけられているのが代表者による見直しです。Pマークを取得・維持するだけでなく、どのようにPMSの活動をスパイラルアップさせるかという考えの中心となるのが代表者による見直しでしょう。代表者、個人情報保護管理者、Pマークの担当者などにより、代表者に対して内部監査での指摘事項とその是正対応や、外部の変化状況などの報告をおこないながら、代表者を中心として、次年度以降どのようにPMS活動をおこなっていくかというのを決める場となっています。
大きな会社になればなるほど、Pマークの活動は現場主体になってしまいがちですが、PMS活動には代表者を含めた経営層が関わっていくことが求められています。Pマークの活動には少なからずコストがかかります。また、個人情報の漏えいが発生した場合は全社的に大きな影響があります。そのため代表者は適切にPMS活動に関わり、判断をしていかなければならず、そのための最も効果的な場が代表者による見直しの場となります。
効果的な見直し、効果的でない見直し
Pマークの審査で求められるのは、JIS Q 15001:2006で定められた7項目について代表者を含めた話し合いがおこなわれた記録(議事録など)があるかどうかだけです。その内容が効果的であったかは求められません。そのため形式的な報告のみがおこなわれて、その記録のみが残るというケースもよくあります。代表者が特にPMSにあまり興味がなく、報告された内容を確認し、漠然とした指示を出して終わりというケースです。このような場合は、行事としての代表者見直しが毎年あり、それぞれが時間の無駄であると思うでしょう。
効果的な代表者による見直しは、Pマークの活動自体を形式的なものにせず、活動自体を改善していくためのものです。とはいえ代表者が普段から深く個人情報保護の活動に関わっていくことは中規模以上の会社では非常に難しいです。そのため、代表者による見直しの場で、わかりやすくまとめた情報を代表者に伝えて、議論ができるように準備をすることが非常に大切です。ただの内部監査結果などの報告の場に留めず、「課題」と「改善方法」などについて明確にまとめていくとよいでしょう。もちろんJIS規格の要求事項で求められている項目を中心にしながらとなりますが、その範囲だけでなくても構わないのです。このような代表者見直しのための資料作成となるとやはり工数がかかりますので、コンサル会社などのサービスメニューに入っていれば作成を依頼するとよいでしょう。
Pマーク 代表者見直しの要求事項
Pマークで要求されているのは以下の7項目となりますが、全てに対して見直す必要はありません。
監査及び個人情報保護マネジメントシステムの運用状況に関する報告
主に内部監査の結果や是正状況の報告をおこなうとよいでしょう。
苦情を含む外部からの意見
顧客や取引先からの個人情報保護に対する意見や苦情などがある場合、その状況と改善策について話し合うとよいでしょう。
前回までの見直しの結果に対するフォローアップ
前年度に見直しをおこなうこととした項目について現状の状況について話し合うとよいでしょう。
個人情報の取扱いに関する法令,国の定める指針その他の規範の改正状況
法令の改正状況の報告ですが、特にマイナンバー制度など個人情報の取扱いに大きな影響を与えるものについて報告をおこなうとよいでしょう。法令などは定期的に見直すことになってしますが、細かい部分までこの場で報告する必要はないでしょう。
社会情勢の変化,国民の認識の変化,技術の進歩などの諸環境の変化
個人情報の事故事例や、個人情報に対する社会の認識の変化、セキュリティ関連の技術の状況について話し合い、自社としてどのような取り組みをおこなうかについて検討するとよいでしょう。
事業者の事業領域の変化
自社の事業領域が変化している場合、個人情報の管理体制や取り組みについての対策状況について報告し、会社としてのリスクがないかについて話し合うとよいでしょう。
内外から寄せられた改善のための提案
顧客・取引先・社員などからPMS活動に対して寄せられた改善の提案について話し合うとよいでしょう。顧客・取引先などから意見をもらうのは難しいですが、社員などにアンケートをおこない、個人情報保護管理者などが取りまとめた上で改善の対策を考えてもよいでしょう。改善箇所を見つけるのは難しい場合は、コンサル会社などの第三者から意見を出してもらうのもよいでしょう。