Pマークに要求される教育、内部監査について


はじめまして、ISO総合研究所東京支社業務責任者 コンサルタント岡本優梨亜と申します。

今回はPマークの運用にあたって必要な教育と内部監査についてお話させていただきます。Pマークの教育と内部監査に関して下記の要求事項があります。

4.4.5
教育
事業者は,従業者に,定期的に適切な教育を行わなければならない。事業者は,関連する各部門及び階
層において,その従業者に,次の事項を理解させる手順を確立し,維持しなければならない。
a) 個人情報保護マネジメントシステムに適合することの重要性及び利点。
b) 個人情報保護マネジメントシステムに適合するための役割及び責任。
c) 個人情報保護マネジメントシステムに違反した際に予想される結果。

4.7.2
内部監査
事業者は,自ら定めた個人情報保護マネジメントシステムのこの規格への適合状況及び個人情報保護マ
ネジメントシステムの運用状況を定期的に監査しなければならない。
監査責任者は,監査を指揮し,監査報告書を作成し,事業者の代表者に報告しなければならない。監査
員の選定及び監査の実施においては,監査の客観性及び公平性を確保しなければならない。
事業者は,監査の計画及び実施,結果の報告並びにこれに伴う記録の保持に関する責任と権限を定める
手順を確立し,実施し,維持しなければならない。

4.8
是正処置及び予防処置
事業者は,不適合に対する是正処置及び予防処置を確実に実施するための責任と権限を定める手順を確
立し,実施し,維持しなければならない。その手順には,次の事項を含めなければならない。
a) 不適合の内容を確認する。
b) 不適合の原因を特定し,是正処置及び予防処置を立案する。
c) 期限を定め,立案された適切な処置を実施する。
d) 実施された是正処置及び予防処置の結果を記録する。
e) 実施された是正処置及び予防処置の有効性をレビューする。

4.9
事業者の代表者による見直し

事業者の代表者は,個人情報の適切な保護を維持するために,定期的に個人情報保護マネジメントシス
テムを見直さなければならない。
事業者の代表者による見直しにおいては,次の事項が考慮されなければならない。
a) 内部監査及び個人情報保護マネジメントシステムの運用状況に関する報告。
b) 苦情を含む外部からの意見。
c) 前回までの見直しの結果に対するフォローアップ。
d) 個人情報の取扱いに関する法令,国の定める指針及びその他の規範の改正状況。
e) 社会情勢の変化,一般の認識の変化,技術の進歩などの諸環境の変化。
f) 改善のための提案。

Pマークの教育で伝えたいことは以下3つです。

a) 個人情報保護マネジメントシステムに適合することの重要性及び利点。
b) 個人情報保護マネジメントシステムに適合するための役割及び責任。
c) 個人情報保護マネジメントシステムに違反した際に予想される結果。

といわれても難しいと思うので
簡単に説明すると下記の通りです。

a) 個人情報保護マネジメントシステムに適合することの重要性及び利点。
└個人情報は本人のものです。
b) 個人情報保護マネジメントシステムに適合するための役割及び責任。
└個人情報を使う場合には何に使うのか本人に許可を得ておく必要があります。
c) 個人情報保護マネジメントシステムに違反した際に予想される結果。
└何に使うか決めたもの以外のことに使う場合は改めて許可が必要です。

Pマークを取得している以上、個人情報はどんなものなのだろうかなど
考えるいい機会が要求事項上の教育だと思います。
一年に一度Pマークはどのようなものか、何が個人情報なのか
しっかり考えてみてください。

続いて内部監査です。
内部監査で最近一番よく指摘されるのが、スクリーンセイバーの設定やパスワードが安易なものになっている、また定期的に変更されていない等設定が出来ていないことがとっても多いです。
安全管理規程に基づきスクリーンセイバーの設定、何分で設定が必要なのか、パスワードが何桁になっているのか、また英数混合必要なのか、設定をしなおしましょう。

また完璧に運用を行っている会社なんてめったにありません。
でもそれは悪いことではありません。
まずは気づくこと、直していくこと、また実行していくことがとっても大切です。

a) 不適合の内容を確認する。
b) 不適合の原因を特定し,是正処置及び予防処置を立案する。
c) 期限を定め,立案された適切な処置を実施する。
d) 実施された是正処置及び予防処置の結果を記録する。
e) 実施された是正処置及び予防処置の有効性をレビューする

要求事項にもこう記されています。
予防処置を立案することは難しい言葉に聞こえますが、全然難しくありません。
考えて行動するだけです。
また、このようなことがあったと記録することもとっても大切です。
そして見返していき、去年はこれが出来てなかったな~と一年に一度振り返ってみると
よりよいPマーク運用ができるかと思います。
これからもPマーク更新するにあたり、昨年よりよい運用を心がけましょう。


簡単・即時発行!見積書ダウンロード

メールアドレス