ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

「力量認定要件表」の「必要力量」に、スタート時ではどのように記載すればよいか。

06.30.2020

「サンプル・記入例」のファイルで、「力量認定要件表」がありますが、これの「必要力量」には、かなりの経験や知識の必要性が書かれております。

しかし、弊社では、これまでPMS関連セミナーなどに参加していたメンバーはおらず、昨年からスタートしたような状況です。

そういった場合はどのように書くのが適切でしょうか?

「力量」についてですが、JIS Q 15001 の「7.2 力量」では、「必要な力量を決定する」ことと、その「力量を備えていることを確実にする」こと、そのための「処置をとり、有効性を評価する」ことが求められています。
処置には、教育訓練や指導、配置転換、または雇用や契約などがあるとなっています。

上記を踏まえると、「どのような力量が必要か?」は求められていませんので、自由に設定することが可能です。

例えば、その役割や権限などを問題なくこなすことができるか否かで「力量」を設定し、力量が足りなければ社内での勉強会などを活用する方法をとれば良いということになります。

「力量」に関しては、JIS Q 15001:2017 の改正の際、他マネジメントシステム規格との近接性が保たれるよう追加されて要求事項で、JIS Q 15001:2006(旧版)になかった要求事項です。

ただ、「A.3.3.4 資源、役割、責任及び権限」が関連する要求事項となっており(※ JIS Q 15001:2017 の 附属書D を参照)、ここでは「個人情報保護管理者」と「個人情報保護監査責任者」の割り当てが求められています。

よって、最低限、これらの2つの役割に関しては、この要求事項を満たす「力量」を定めておく必要はあるでしょう。

その他、内部監査員も監査を行うわけですから、監査に関する一定の力量、例えば規格や個人情報保護法の理解やセキュリティ知識があることなどが必要になってくると考えられます。