Pマークの運用の確認にはどの記録が必要ですか?進捗確認のエビデンスは別に作成すべき?
PMSが適切に運用されているかを確認する記録文書は、Pマークサンプル文書集のどれを活用すればOKなのでしょうか?
購入時の「プライバシー審査基準対比.pdf」を確認したところ、不適合が発覚した場合は「是正処置要求・報告書」にて対応することは理解できたのですが、運用の確認記録の実施にどの様式が当てはまるのでしょうか?
サンプル文書集では、
6.3 個人情報保護目的及びそれを達成するための計画策定
(2)PMS計画表の作成の最後に、 「個人情報保護管理者は、PMS推進会議にて進捗を確認する。」
と記載されているのですが、こちらになるのでしょうか?
その場合、進捗確認のエビデンスを別に作成する必要があるということでしょうか?
最新の規定(9.1 監視,測定,分析及び評価)に基づき、実務的な運用方法を解説いたします。
結論から申し上げますと、最新の弊社サンプル文書(JIS Q 15001:2023対応版)では、運用の確認記録として「安全管理策実施状況確認書」という専用の様式をご用意しております。
ご質問いただいた「PMS計画表の進捗確認」も重要な運用の一部ですが、全体像を整理すると以下のようになります。
1.「9.1 監視,測定,分析及び評価」における運用確認の進め方
最新のサンプル文書では、現場レベルでの日常的な監視を確実に行うため、以下の手順を定めています。
- 使用する様式:
「安全管理策実施状況確認書」 - 実施内容:
規程に基づき、現場の記録(ログやチェックリスト等)の確認や聞き取りを行い、ルールが形骸化していないか、対策が機能しているかを評価します。 - 頻度:
現場の監視・測定は「3カ月に1回」、全体的な分析・評価は「年1回」実施します。
2. 記録(エビデンス)の考え方
ご質問の「PMS計画表の確認」も運用の一部ですが、それ単体で全てを網羅するものではありません。
- 既存の記録を活用:
サンプル文書の設計思想は「二重作業の防止」です。既にある入退室管理簿や点検表などは、そのまま「監視・測定」のエビデンスになります。 - 確認書の役割:
個別の記録をバラバラに保管するだけでなく、3カ月に一度「安全管理策実施状況確認書」でそれらを総括的に評価することで、不適合の早期発見が可能になります。
ご指摘の「6.2 PMS計画表の進捗確認」も、広義の監視・測定(PMSパフォーマンスの評価)に含まれます。
- PMS計画表の確認:
「計画通りに施策が進んでいるか」というマネジメント側の進捗を確認するもの。 - 安全管理策実施状況確認書:
「現場でルールが守られ、対策が機能しているか」という実務の有効性を確認するもの。
これらは別々に独立したエビデンス(記録)となりますが、最終的にはどちらも「9.1 監視,測定,分析及び評価」の結果として集約され、トップマネジメントへの報告(マネジメントレビュー)に活用されます。
3. 審査・運用における有用性
「9.1 監視,測定,分析及び評価」の目的は、内部監査まで待たずに不適合を早期発見することです。もし既に日常業務の中で「サーバーログの月次点検」や「清掃チェックリスト」等を行っているのであれば、それ自体が立派な監視・測定のエビデンスとなります。
審査員に対しては、これら個別の現場記録と、3カ月に1回の「安全管理策実施状況確認書」をセットで提示することで、「現場の事実(記録)」と「責任者による評価(確認書)」の両輪が回っていることを証明でき、非常に高い評価(満足度)につながります。
別途、確認のためだけの特別な作業を増やすのではなく、「今ある現場の記録を、3カ月に一度『安全管理策実施状況確認書』で横断的に評価する」という流れで運用していただくのが、最も効率的かつ効果的です。
4. 最後に
規格「9.1 監視測定,分析及び評価」ではそれらをまとめたエビデンスを要求されているわけでないため、当サンプル文書では、1つの記録としてまとめるのではなく、それぞれのエビデンスをもって運用の確認記録としています。
内部監査とは異なり、日常的な運用確認により、不適合を早期に発見し是正を行い、PMSが適切に運用されているかどうかを確認するものです。よって、既に運用上、何らかの確認行為が取れているのであれば、それらが運用の確認となります。
別途、それだけのための運用確認行為を行う必要はないということになります。
当サンプル文書が1つのまとめ様式を作っていないのは、お客様の既存の業務フロー(日報や会議)を活かし、審査のための「余計な事務作業」を増やさないためです。
実務上は「二重作業」を避けることがPMSを長続きさせるコツです。不適合が発見された時だけ、「是正処置要求・報告書」へ繋げるという流れが最も効率的です。
