ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

A.3.7.1 運用の確認について

03.10.2020

PMSが適切に運用されているかを確認する記録文書は、Pマークサンプル文書集のどれを活用すればOKなのでしょうか?

購入時の「プライバシー審査基準対比.pdf」を確認したところ、不適合が発覚した場合は「是正処置要求・報告書」にて対応することは理解できたのですが、運用の確認記録の実施にどの様式が当てはまるのでしょうか?

サンプル文書集では、

6.2 個人情報保護目的及びそれを達成するための計画策定(A.3.3.6)
(2)PMS計画表の作成の最後に、 「個人情報保護管理者は、PMS推進会議にて進捗を確認する。」

と記載されているのですが、こちらになるのでしょうか?

その場合、進捗確認のエビデンスを別に作成する必要があるということでしょうか?

ご質問の件、「プライバシー審査基準対比.pdf」の「A.3.7.1 運用の確認」にもあるように、PMSマニュアルの「9.1 監視,測定,分析及び評価」を参照となっています。

ここでは、a)項で①~③の監視及び測定対象を定め、それぞれ下部の①~③にて定めると規定しています。

ご質問の中にあった、ご指摘のPMSマニュアルの6.2 も、②に該当することになります。

なお、A.3.7.1ではそれらをまとめたエビデンスを要求されているわけでないため、当サンプル文書では、1つの記録としてまとめるのではなく、それぞれのエビデンスをもって運用の確認記録としています。

A.3.7.1は、内部監査とは異なり、日常的な運用確認により、不適合を早期に発見し是正を行い、PMSが適切に運用されているかどうかを確認するものです。

よって、既に運用上、何らかの確認行為が取れているのであれば、それらが運用の確認となります。

別途、それだけのための運用確認行為を行う必要はないということになります。