代表者と個人情報保護管理者の関係について
代表者と個人情報保護管理者の関係について質問です。
代表者が個人情報保護管理者を兼任する場合、個人情報保護管理者の代表者に対する報告義務などはどうなるのでしょうか。
また、報告義務以外にも、兼任する場合に注意すべき点などありますでしょうか。
代表者が個人情報保護管理者を兼任する場合の運用と、記録上の注意点について回答申し上げます。
結論から申し上げますと、実務上の「会話としての報告」は発生しませんが、「組織図上の役割」としての報告・承認のプロセスは、必ず書面(エビデンス)として残す必要があります。
1. 記録(エビデンス)の必要性
JIS Q 15001では「代表者」と「個人情報保護管理者」には異なる責任が割り当てられています。同一人物であっても、文書(体制図等)や記録(承認印、報告書)の上では、それぞれの役職が登場し、役割を果たしていることを示す必要があります。
2. 代表者と管理者の「役割」の違い
兼任される場合でも、以下の通り「どの立場でその業務を行っているか」を明確に意識する必要があります。
| 項目 | 個人情報保護管理者としての役割 | 事業者の代表者としての役割 |
|---|---|---|
| 主な任務 | PMSの運用、教育や監査の実施管理、実務の指揮。 | PMS全体の最終責任、リソース(予算・人員)の提供。 |
| 計画の立案 | 教育計画や監査計画を「作成」する。 | 提出された計画を経営的視点から「承認」する。 |
| 報告と指示 | 運用の状況を代表者に「報告」する。 | 報告を受け、改善の「指示」を出す(マネジメントレビュー)。 |
兼任時は、以下の「立場の違い」を意識して運用してください。
- 教育・監査計画:
「管理者」が案を作成し、「代表者」が経営判断として承認する。 - 方針策定:
「代表者」の立場でトップメッセージとして策定・承認する。 - マネジメントレビュー:
「管理者」が運用の状況をまとめ、「代表者」が改善指示を出す。
3. 実務上の運用アドバイス(混乱を防ぐポイント)
シート(様式)への記入や承認印の運用については、以下の考え方で統一してください。
- 承認印の二重押印:
規定や計画書において「管理者検印」「代表者承認」の欄がある場合、同一人物であっても両方の欄に押印することを推奨します。これは「管理者の立場で内容を確認した」ことと「代表者の立場で最終決定した」ことを区別するためです。 - 報告書・議事録の記載:
マネジメントレビュー報告書などでは、「個人情報保護管理者である〇〇が状況を報告し、代表者である〇〇がこれを承認・指示した」といった形で、役職名を明記して記録を残します。
4. 注意点:客観性の確保
運用上での実質的な報告行為は無くなるかと思いますが、JISQ15001ではプライバシーマーク上の役職者として”事業者の代表者”及び”個人情報保護管理者”の設置が求められていますので文書(推進体制図など)や記録上では”事業者の代表者”及び”個人情報保護管理者”を登場させるようにして下さい。
また、報告義務以外でも”事業者の代表者”及び”個人情報保護管理者”の役割・権限は異なっておりますので、各々の観点から承認やPMS運用の指揮・指導を行うように注意して下さい。
例えば...
① 教育や監査の計画についての承認は”事業者の代表者”としての観点で承認しています。
② 方針は事業者の代表者としての観点から策定し承認しています。
上記などの実施事項は”事業者の代表者”としての役割・権限で実施されるものですので”個人情報保護管理者”の観点からの実施にならないように注意して下さい。
管理者が代表者を兼ねる場合、意思決定が早まるメリットがある反面、監視の目が緩くなるリスクがあります。
特に内部監査については、管理者(代表者)自身が監査を行うことはできません。必ず管理者以外の従業員や外部専門家を監査員に充て、客観的なチェック機能が働くようにしてください。
