個人情報保護マネジメントシステムの運用、運用の確認、点検(監査)、代表者による見直しを確実に行っていれば、プライバシーマークの認定更新申請に必要な記録類・資料等の書類はすべて完備されています。しかし、プライバシーマークの契約期間は2年間に渡るため、その間の事業の追加や変更・人事異動や組織変更・コンピュータネットワークシステムの再構築等の変化によって、個人情報保護マネジメントシステムの完璧な実施を図っていたとしても、それが要求事項を十分に満たしていない事態が起こり得ます。
個人情報保護という本来の目的から外れて、プライバシーマーク認定更新の前に慌てて帳尻を合わせるという意味ではなく、認定更新の申請を良い契機として再度、不適合事項・不具合・不備・不足がないか確認し、それらが判明した場合、速やかに是正処置・改善を行うという意味で、認定更新の申請の事前準備を行うことの価値があります。
以下の事前準備は、時間的な余裕を持って、プライバシーマーク認定更新申請の1ヶ月前には開始します。 |
| |
| 1.個人情報の特定・リスク分析 |
|
新規事業の開始や事業内容の変更によって、取り扱う個人情報が大きく変動した場合、その特定に漏れが生じる恐れがあります。通常の業務の範囲内における取り扱い個人情報の変更であれば問題ありませんが、プライバシーマークの契約期間内に大きな変動があった場合は、更新申請前に再度検証する必要があります。
また、この検証によって個人情報の特定漏れが判明した場合は、その個人情報についてのリスク認識・分析とリスクに対する改善策の考案も行わなければなりません。 |
| |
| 2.物理的・技術的安全対策 |
|
事業所の移転やコンピュータネットワークシステムの変更によって、リスクに対する物理的・技術的安全管理対策が完全に移行・実施されていない場合があります。調査の結果、物理的・技術的安全管理処置についての問題点が判明した場合、その解決には機器の設置や設定やコンピュータシステムのセットアップ等を専門家に依頼する必要があるため、早急な対応が要求されます。 |
| |
| 3.個人情報保護の運用体制 |
|
人事異動や組織変更によって、個人情報保護マネジメントシステムの運営体制を構成する管理者・責任者が転任・転勤する場合があります。個人情報保護管理者や個人情報保護監査責任者はもちろん、各部門の個人情報取扱責任者・取扱担当者に至るまで、欠員が生じていないか、事前に確認するする必要があります。また、管理者・責任者がすべて設置されている場合でも、転任・転勤時の個人情報保護マネジメントシステムに関する業務の引継ぎの状況やその業務の実態を確認し、現状が名目だけの管理者・責任者になっていないかを検証しておきます。 |
| |
| 4.個人情報保護教育 |
|
個人情報保護教育は、事業者のすべての従業者が受講しなければなりません。人事異動や組織変更・定期研修の欠席等の理由によって、個人情報保護教育を受講していない従業者がいないかを確認し、未受講者がいる場合は、速やかに研修を実施します。また、受講済みの従業者でも、教育の効果が不十分だった者への再研修の実施状況を調査し、該当者がいる場合は、速やかに再研修を実施します。 |
| |
| 5.点検−運用の確認・監査 |
|
個人情報保護マネジメントシステムについての点検(運用の確認・監査)は、事業者のすべての部門に対して実施されなければなりません。新たな事業所の開設や組織変更等の原因によって、監査を受けていない部門がないかを調査し、該当する部門がある場合は、速やかに監査を実施します。また、監査結果の代表者への報告や指摘事項に対する改善計画・改善計画に基づく改善の実施・改善の実施状況に対する再監査等、行われた監査の一連の流れを検証し、実施されていない事項がある場合は、速やかに必要な処理を行っておきます。 |
| |
| 6.是正処置・予防処置 |
|
個人情報保護管理者等が行う運用の確認の結果・個人情報保護監査責任者が行う点検(運用の確認・監査)の結果・個人情報に関する事故(漏洩・毀損・滅失等)の発生・個人情報の本人からの苦情相談等によって判明した不適合事項・問題点については、早急に是正処理・予防処置を講じなければなりません。これらの不適合事項・問題点に対する是正処理・予防処置が適切に行われたかを調査し、実施されていない事項がある場合は、速やかに必要な処置を講じておきます。 |
| |
| 7.代表者による見直し |
|
事業者の代表者は少なくとも毎事業年度に1度、個人情報保護マネジメントシステムの根本に関する見直しを行わなければなりません。点検(運用の確認・監査)の結果・苦情や相談等の外部からの意見や要望・個人情報の取扱に関する法令等の制定や改正の状況・事業領域の変化等に対応し、必要な見直しが行われたかどうかを検証し、見直しを実施すべき事項がある場合は、速やかその対策を実行します。 |
| |
| 8.文書管理 |
|
個人情報保護マネジメントシステムに関する文書(個人情報保護方針・各内部規定・記録類等)は、すべて適切に管理されなければなりません。個人情報保護方針・各内部規定は、改定されるごとにその履歴を記録し、また教育や監査の実施記録・報告書、各規定に基づく記録類は、代表者の承認を受けた上で、保管・管理される必要があります。これらの文書に不備や欠落がある場合は、速やかにその補完を行っておきます。 |
| |
| 9.代表者・管理者・責任者間の調整 |
|
個人情報保護マネジメントシステムの運用体制に係わる者は、代表者の指揮の下に一致協力して、その業務を遂行していきますが、時間の経過とともに、それぞれの認識・知識・理解に相違が生じてくる場合があります。プライバシーマーク認定更新の現地審査では、代表者へのインタビューに同席して、個人情報保護管理者・個人情報保護監査責任者への質疑も行われます。代表者・管理者・責任者が、それぞれ異なる回答をすることがないように、あらかじめ相互の認識・知識・理解を統一しておく必要があります。 |
| |
|
| 前ページへ |
Top Page