A.3.1.1 一般の「承認の手順」の解釈・表現に迷っています。
A.3.1.1 一般の「承認の手順」の解釈・表現に迷っています。
『個人情報保護方針(A3.2)から是正処置(A3.8)は、トップマネジメントによって権限を与えられた者によって、組織が定めた手段に従って承認されなければならない』とありますが、権限を与えられたもの=個人情報保護管理者と個人情報保護監査責任者、は明確ですが『組織が定めた手段に従って承認』とは、誰が何を意味するものとして表現すれば迷っています。
この場合の「承認」は規定で記された様式を用いる個人情報の取扱い管理手順の適合性内容自体を”トップマネジメントによって権限を与えられた者”が承認するのか、記録を要する全様式が規定通りに実行されたことを”トップマネジメントによって権限を与えられた者”が承認するか、あるいは規定・様式・実施結果の確認としてトップマネジメントが「承認」するのか社内でも解釈が割れるところです。
よろしくお願いいたします。
まず、ご質問の項は、旧規格(JIS Q 15001:2006)の「3.1 一般要求事項」に該当するものになります。
A.3.1.1では、その後につづく管理策「A.3.2」から「A.3.8」において、「トップマネジメントが権限を与えた者」がそれぞれの管理策(A.3.2からA.3.8)に関して、組織が決めたルールに従い、実施や実施後等の承認をきちんと行うようにと規定しています。
「トップマネジメントによって権限を与えられた者」に関してですが、ご質問の「個人情報保護管理者」および「個人情報保護監査責任者」もそうですが、JIS Q 15001:2017の附属書B(参考)「管理策に関する補足」の「B.3.1.1 一般」にも書かれているように、各管理策で承認する案件によりそれら以外の者(例えば部門長など)も含みます。
——————
※JIS Q 15001:2017の附属書B(参考)「管理策に関する補足」の「B.3.1.1 一般」
“トップマネジメントによって権限を与えられた者”とは,原則として個人情報保護管理者を指す。
ただし,承認する案件の軽重は,経営判断を要するものから現場の担当者の判断に任せるものまで様々であり,個人情報保護管理者以外のものが承認する場合もあり得る。
“組織が定めた手段”についても,承認する案件の軽重によって,経営層の決議を要するものから部署内の決裁まで様々であると考えられる。
——————
「6.1.3 個人情報保護リスク対応」のc)項にて、「6.1.3 b) で決定した管理策を附属書Aに示す管理策と比較し,必要な管理策が見落とされていないことを検証する。」とあります。
これにより、「組織が定めた手段に従って承認」とは、リスク対応として、組織が附属書Aに規定した管理策を踏まえた管理策を決定し、実施することを意味し、「トップマネジメントにより権限を与えられた者」とは、管理策の実施において、許可等の承認を行う者を指しているととらえることができます。
(※自社で各場面での承認者を決定し、その承認手順をPMS文書や様式などでの規定ととらえることも可能です。)
参考までに、「JIPDEC審査基準」のA.3.1.1項もご参考にされると良いかと思います。
