Pマークの「外部とのコミュニケーション」は何が必要?最低限規定すべき内容とは?
外部とのコミュニケーションについて定例会議的なものは特にないのですが、最低どんな内容にいたせばよろしいのでしょうか?
当社の場合、顧客=取引先企業及び協力会社、委託業者=会計事務所となります。
結論から申し上げますと、「定例会議」などを新設する必要はありません。重要なのは、形式ではなく「必要な情報が、必要な時に、確実に伝わるルート」が定義されていることです。
1. 規格上の考え方と「最低限」必要な範囲
最新規格の「7.4 コミュニケーション」は広範な概念ですが、実務上、最低限押さえるべきは、以下の2点になります。
- 平常時における、本人を含む外部とのコミュニケーション(個人情報保護方針の公表、本人からの開示等の請求等への対応、苦情及び相談への対応等)
- 緊急時における対応(主に、緊急事態への準備(J.4.4.2))
中でも、万が一の漏えい事故等の際、委託先(会計事務所)から貴社へ、あるいは貴社から顧客へ、どのルートで連絡を行うかを明確にしておくことが「最低限」の必須事項となります。
- 緊急時の連絡網:
事件・事故(漏えい等)が発生した際、委託先(会計事務所)から貴社へ、あるいは貴社から顧客(取引先)へ、どのように一報を入れるかを特定してください。 - 審査の視点:
審査では「7.4」そのものよりも、附属書Aの「A.3.3.7 緊急事態への準備」に関連したコミュニケーション(外部への連絡ルートの整備)が重点的に確認されます。
2. 定例会議がない場合の「コミュニケーションの特定」
特別な会議がなくても、日常的な業務連絡を、PMS上のコミュニケーションとして定義し直すのが実務的です。
- 委託先(会計事務所):
書類授受時の確認や、法改正に伴う運用変更の連絡など。「必要の都度、メールや電話で実施する」と規定すれば十分です。 - 顧客・協力会社:
契約更新時の周知や、Webサイトでの公表事項の更新なども、立派なコミュニケーションに含まれます。
「誰が、誰と、どのような内容を、いつ、どのような方法で」を一覧化しておくだけで、審査員には「適切に特定されている」と評価されます。
3. 運用をより良くするために
「事故が起きた後」の連絡だけでなく、「事故を防ぐため」のコミュニケーションを特定することをお勧めします。
例えば、年1回委託先に対して「セキュリティ上の懸念点がないか」をメールで確認する、といった軽微な運用を加えるだけで、PMSの「有効性」は審査において高く評価されるようになります。
無理に「新しい会議」を作る必要はありません。「誰が、誰と、何を、いつ、どうやって」を現状に即して一覧化するだけで、審査基準を十分に満たすことができます。
