昨今、個人情報保護や情報セキュリティに関する意識がますます高まる中で、プライバシーマーク取得が企業の信頼性向上や取引先確保において注目を集めています。本記事では連載で、取得に向けた3ステップをご紹介します。
今回は①PMSの構築について解説します。
まず、Pマークを実際に取得するには、個人情報保護マネジメントシステム(PMS)の確立が必須になります。
よく「書類を準備して申請するだけで取得できますか?」とご質問を頂きますが、書類準備だけでは取得できず、実際にルールを作り運用して初めて取得が可能になります。運用期間は通常は3ヶ月以上を求められすぐに取得はできないため、取得したいタイミングから逆算し、計画を立てて実行することが重要になります。
個人情報マネジメントシステム(PMS)とは?
日本規格協会の書籍である「個人情報保護マネジメントシステム導入・実践ガイドブック」には
マネジメントシステムについて下記の記述があります。
『「組織が方針及び目的を定め、その目的を達成するために役割及び責任を定め、
計画し、運用する」という一連の要素を「適切に指揮・管理し、維持するための仕組み」』
「個人情報保護」は、事業者が守らないといけない法令の遵守事項でもある為、社内の従業者を中心に、個人情報の適切な取り扱いを周知し、法令違反にならないように企業は努めなければなりません。
その為、代表者を中心に「個人情報保護方針」を策定し、管理者や責任者を定めて法遵守ができる管理体制を整え、ルールを決めて運用していくことが必要になります。
その際にマネジメントサイクルとして代表的な「PDCAサイクル」を構築し運用することで、
・実際に法に基づいた社内ルールの策定ができているか
・社内で定めたルールに基づいた運用が実際にできているか といったことを定期的に確認し、
見直すことができる為、管理体制の継続的な改善・向上が期待できます。
PMSは個人情報保護法を中心とした法令遵守の為の、経営管理(マネジメント)システムということもできるでしょう。通常、PDCAサイクルを1年に1回のペースで運用していきます。Pマークでは、少なくとも1回このPDCAサイクルを運用し申請を行うことになります。
①PMS構築
PMSの構築では前述したように、組織体制の確立とルールづくりが中心になります。
いくらルールを作ってもそれを実行するための組織体ができていないと、ルールが作られたまま放置されてしまう…実行する人がいない…など、PMSが全く機能しなくなってしまいます。その為「組織体制の確立」はとても重要です。
1.組織体制の確立
代表者が社内から「個人情報保護管理者」「個人情報保護監査責任者」の2名を決定するところからスタートします。
保護管理者と監査責任者は兼任ができない、代表者は監査責任者を兼務できないなど
幾つか留意点があるため注意が必要です。
その他組織によっては、教育責任者、苦情相談責任者、情報セキュリティ責任者などを選任し体制を整えます。
またPMS事務局を設置し、自社が守らなければならない法令を特定したり、年間のPMSの運用スケジュールを決定し、PMSの運用を行いやすくします。
また代表者を中心に「個人情報保護方針」を策定し、個人情報保護に対する会社の方針を決定します。
個人情報保護方針は、会社のWebサイトに掲載するなど社内外に周知する必要があります。
2.ルールづくり
PMSの構築では社内のルールづくりも行いますが、まず始めに「自社がどのような個人情報を取り扱っているのか」
調査する必要があります。
・通販などで直接お客様の個人情報を取得している
・受託業務でクライアント企業の個人情報を取り扱っている
・治療歴など要配慮個人情報を取得している
等、業種・業態によって取り扱う個人情報は様々であるため、自社で取り扱っている個人情報を把握し、適切な対策を行うことが重要です。整理した情報は「個人情報保護管理台帳」にまとめます。
取得している個人情報を把握したら、個人情報の取り扱いプロセスの中でどのような「リスク」があるかを整理します。 具体的に個人情報を取得してから最後に廃棄するまでの取り組みの中で、漏洩や毀損のリスクがないかを検討します。
・紙での取り扱いか、データでの取り扱いか
・どこから取得するのか
・委託・提供はあるか
・どこに保存するか
など取り扱いプロセスの中でリスクも異なる為、事業毎に丁寧に洗い出す必要があります。
またリスクも「ゼロ」にすることはできないため、問題が起きる可能性をできるだけ減らすために、
ルールを策定し、運用します。
PMSでは、法令の遵守事項はどの事業者も守らなければならない為、一般に「個人情報保護規程」として
ルールを策定します。また個人情報そのものを守るために、情報セキュリティ対策(=安全管理措置)を講じます。
情報セキュリティは「必要かつ適切な措置を講じること」を求められており、企業規模また実態に則した形でのルール設定が可能です。
また内部規程として、少なくとも下記のルールを策定する必要があります。
a)個人情報を特定する手順に関する規定
b)法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
c)個人情報保護リスクアセスメント及びリスク対応の手順に関する規定
d)事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
e)緊急事態への準備及び対応に関する規定
f)個人情報の取得、利用及び提供に関する規定
g)個人情報の適正管理(データ内容の正確性の確保等、安全管理措置、従業者の監督、委託先の監督)に関する規定 h)本人からの開示等の請求等への対応に関する規定
i)教育などに関する規定
j)文書化した情報の管理に関する規定
k)苦情及び相談への対応に関する規定
l)監視、測定、分析及び評価、並びに内部監査に関する規定
m)不適合及び是正処置に関する規定
n)マネジメントレビューに関する規定
o)内部規程の違反に関する罰則の規定
ルールが出来上がると、②PMSの運用のフェーズになります。
次回、お楽しみに!
Trouvezでは企業様のご状況に合わせた適切な取得方法やアドバイスをさせて頂いております。
お気軽にお問い合わせください。
https://www.trouvez-tll.com/privacy-mark/