監視及び測定については安全管理策実施状況確認書で行うことはわかったのですが、年1回の分析及び評価はどのように行うのでしょうか。
PMSマニュアルの「9.1 監視、測定、分析及び評価」には、
「個人情報取扱及び保護規程」をもとに「安全管理策実施状況確認書」を作成し、関連文書(記録)及び関係者への聞き取りにて確認(監視・測定)する。
その結果からリスク顕在化の兆し及び新たな措置の必要な箇所がないかを分析及び評価し、個人情報保護管理者へ報告する。
とされています。
監視及び測定(3ヵ月に1回)については安全管理策実施状況確認書で行うことはわかったのですが、年1回の分析及び評価はどのように行うのでしょうか。
その方法や記録の要不要について、ご教示ください。
PMSマニュアルでは、「b) 監視,測定,分析及び評価の⽅法」では、以下の記載のとおりとなります。
- ① 監視及び測定(3カ月に1回)
- →「個⼈情報取扱及び保護規程」をもとに「安全管理策実施状況確認書」を作成し、関連⽂書(記録)及び関係者への聞き取りにて確認(監視・測定)する。
- →「安全管理策実施状況確認書」の「実施日」に記載
- →「安全管理策実施状況確認書」の「確認(監視・測定)方法」に基づいて実施
- ② 分析及び評価(年1回)
- →その結果からリスク顕在化の兆し及び新たな措置の必要な箇所がないかを分析及び評価し、個⼈情報保護管理者へ報告する。
- →「安全管理策実施状況確認書」の「リスク顕在化の兆し及び新たな措置の必要な箇所 など」に記載
- →①の結果、リスクがある又はありそう、及び現状の措置に追加の措置が必要などの判断
なお、これ以外にも、頻度や方法などに関しては、組織のご都合に合わせてご対応ください。
以上、ご参考ください。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
