プライバシーマーク取得のための活動計画を考えてみた
プライバシーマークの取得までの活動は、組織の事情や状況により、ステップや内容がそれぞれ異なります。
図は、一般的なプライマシーマーク取得までの活動の流れを、事前確認事項から取得まで段階を順を追って解説したものです。
初めて、プライバシーマークの取得を目指される担当者の一つの指標となれるよう図示しています。
1. 事前確認
スケジュールの確認
プライバシーマーク取得に向けた取得活動のためのスケジュール(計画)を立てる。
ワーキンググループの設置
プライバシーマーク取得活動を進めるためのワーキンググループを設置する。ワーキンググループは、円滑に進めていくために、関連部門のとその代表者からなり、グループのリーダーを決めておく。
リーダーは、PMS(個人情報保護マネジメントシステム)運用開始後、「個人情報保護管理者」として、組織のPMS運用の責任者となる。
プライバシーマーク取得に向けた取得活動のためのスケジュール(計画)を立てる。
個人情報保護方針の作成
代表者(PMS適用範囲の代表者など)は、個人情報の収集、利用、提供等に関する保護方針を定めなければならない。
「何のために個人情報保護活動を行うのか」といった取り組み姿勢や基本的な考え方と、「個人情報保護のためにどのようなことをするのか」といったを文書化し、内外に公表しなければならない。
キックオフ宣言
代表者は、朝礼や掲示、配布などといった方法で、関連する全てのスタッフに協力を要請する意図も込め、PMS導入スタートを示す。
組織の内外部の課題と利害関係者のニーズの理解
組織の目的に関連し、PMSに影響を与え得る外部及び内部の課題を決定。また、関連する利害関係者を決定し、それらの個人情報保護に関連する要求事項(法的及び規制の要求事項並びに契約上の義務など)を決定する。
適用範囲の確認と関連資料の作成
「4.3 個人情報保護マネジメントシステムの適用範囲の決定」では、個人情報保護マネジメントシステムが適用される物理的および組織上の境界線を設定することを要求されている。
これには、組織の内部及び外部の課題(4.1)と利害関係者の要求事項(4.2)を踏まえ設定する。
- 法規制一覧
- 組織図(役割、責任及び権限なども)
- フロア図
- ネットワーク図 など
2. 教育
導入教育
ワーキンググループは、情報漏えいにより、組織および漏えいした個人にどのような被害が起こるか、どのようにすれば情報漏えいが防げるかを、事前に勉強会などを行い学ぶ。
教育・啓蒙
ワーキンググループ以外の社員は、PMSがどのようなルールのもとに成り立っているのか分かっていないため、ワーキンググループは、運用開始にあたり、規程書等を利用し、各部門で説明会などを開き、運用の支援を行う。
内部監査員の育成
内部監査を実施するための内部監査員候補者を選定し、内部監査員を養成する。
初めての運用の場合は、ワーキンググループメンバーが内部監査員としての役割を担うと良いでしょう。
3. 規定と目的と計画書の作成
ベース規定の整備
- 個人情報を特定する手順
- 法規制等の特定、参照及び維持
- 権限及び責任
- 緊急事態の準備及び対応
- 個人情報の取得、利用、提供
- 個人情報の適正管理
- 本人からの開示の求めへの対応
- 教育
- 委託先に関すること
- 文書管理
- 苦情及び相談への対応
- 点検及び内部監査
- 代表者のPMS見直し
- 不適合及び是正処置に関すること
- 内部規程への違反
個人情報の取扱い及び保護に関する規定の整備
組織的および物理的、技術的、人的な安全管理措置を策定する。
リスクマネジメントの規定作成
特定された個人情報のリスクアセスメントおよびその結果に対するリスク対応に関する規定を作成する。
- リスク受容の基準を確立
- リスクアセスメント実施の基準を確立
- リスク及びリスクの所有者の特定
- リスクの分析
- リスクの評価
- リスクの対応
各種規定の変更及び追加
リスクマネジメントの結果、リスク対応の選択肢の実施に必要な管理策において、既存の各種規定に変更及び追加等が必要ならば実施する。
個人情報保護目的と計画の策定
内部向け個人情報保護方針と整合し、リスクマネジメントの結果を考慮に入れた個情報保護目的を、関連する部門及び階層において確立し、目的をどのように達成するかについて計画する。
4. 個人情報の特定とリスクマネジメント
個人情報の特定
ワーキンググループは、関係者の協力を得て、取り扱っている個人情報を特定する。
利用目的や入手経路、社内での取扱い経路(取扱い部門)、保管場所(一時保管も含む)、保管形態(電子、紙など)、保管期間、廃棄方法などについて台帳などにまとめる。
なお、この作業はリスクマネジメントにおけるリスクの認識、分析・対策へ繋がる。
リスクマネジメントの実施
定めたリスクマネジメントに関する規定に従い、リスクアセスメントを実施し、その結果を考慮し、リスク対応計画を実施する。
なお、PMSを運用開始すると、あらかじめ定めた間隔又は重大な変更もしくは重大な変化が生じた場合、リスクアセスメントを実施することになる。
5. 運用
実施運用
関連する部門のすべての社員は、規程書をもとに、PMSの運用を開始する。
この運用の結果(記録)をもとに、プライバシーマークの審査が行われる。
不適合への対処と是正処置
運用上にて不適合が確認された場合や個人情報に関わる事故や苦情の発生によって不適合が発見された場合、対処するとともに、その原因を特定し、是正処置を行わなう。
内部監査員の実施
内部監査は、内部監査規程をもとに実施。
内部監査員は、被監査者のPMSが基準に対して適合か不適合か、また見直し、改善すべき点の有無に関して調査し、その証拠の収集を行う。
代表者による見直し
代表者は、以下を考慮しPMSを見直す。
- 実施した見直しの結果と処置の状況
- 外部及び内部の課題の変化
- 不適合及び是正処置の結果
- 監視及び測定の結果
- 監査結果
- 個人情報保護目的の達成度合
- 利害関係者からのフィードバック
- リスクマネジメントへの対応状況
- 継続的改善の機会
PMSの見直しと変更
マネジメントレビューの結果、必要に応じて以下の事項の変更を行う。
- 個人情報保護方針の変更
- 経営資源の配分等の変更
- 規定等の変更 など