プライバシーマーク(Pマーク)推進体制図の作り方|必要な3つの役割と兼任の条件を解説
プライバシーマーク制度を認定取得するためだけに、既存の組織を変更することは避けたいもの。
実際、どのような役割が最低限必要とされているのか、ご存知でしょうか?
基準規格の「JIS Q 15001:2006」の中で登場する役割には、以下の3つが明確に記されています。
- 事業の代表者
- 管理者
- 監査責任者
下図では、先にあげた3役のほか、プライバシーマークの構築から運用までを一貫してサポートする役割を、分かりやすく細分化して示しております。
ちなみに、図では、先の3役を以下のような名称で定義しています。
- 事業の代表者 → 個人情報保護委員会の委員長
- 管理者 → 個人情報保護推進責任者
- 監査責任者 → 監査の責任者
※画像クリックでpdf表示
「事業の代表者」とは?
「事業の代表者」は、多くの場合、社長に当たる方となるでしょう。
「管理者」とは?
「管理者」は、JIS Q 15001の定義によると「個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を持ち、それを実施する者」ということになります。つまり、JIS Q 15001で要求されている「事業の代表者」と「監査責任者」が実施すべき事項以外について、責任を持つ者ということです。
この役割には、教育の実施や苦情の受付。不正アクセス等のシステム的なリスクへの対応など多岐に渡ります。
「監査責任者」とは?
「監査責任者」は、組織で定めたルールを全ての部署が実施しているかをチェックする役割があります。「管理者」と同様に、組織規模が大きくなればなるほど、1人で行うのは困難となります。
まとめ
プライバシーマーク(Pマーク)を適切に運用するためには、組織内での役割分担を明確に定義することが不可欠です。
JIS Q 15001の要求事項に基づけば、中心となる役割は「事業の代表者」「個人情報保護管理者」「個人情報保護監査責任者」の3役となります。これらを完全に独立した個人が担当すれば最低3名体制となりますが、実務上「事業の代表者」が「管理者」を兼任することは認められているため、理論上は最低2名から認証体制を構築することが可能です。
図示した役割一覧は、Pマーク運用に必要な機能を網羅したものです。
小規模な組織であれば、これら全ての役割を少人数で兼務しながら回していくことになります。しかし、組織の規模が拡大し、取り扱う個人情報の量や業務の複雑性が増すにつれ、2〜3名だけでこれら全ての責任を全うすることは物理的・実務的に極めて困難になります。
まずは自社の現在の規模に照らし合わせ、この役割図をもとに「誰がどの責任を持つべきか」を再検討してみてください。
無理のない体制図を引くことが、形骸化しない生きたマネジメントシステム(PMS)を実現するための第一歩となります。
執筆・監修:ISM Web store カスタマーサポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。
