Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 プライバシーマークを取得、運用するための社内体制 | ScanNetSecurity
2024.03.29(金)

Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 プライバシーマークを取得、運用するための社内体制

プライバシーマークやISO27001などの認証取得のコンサルティング業務の
一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

特集 特集
プライバシーマークやISO27001などの認証取得のコンサルティング業務の
一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column12.html

こんにちは。ここ最近は、JIS規格の要求事項を解説していましたが、今回は別の話題についてお話しようと思います。今日お話するのは、プライバシーマークを取得、運用するために必要な社内体制についてです。

私は職業柄、様々な会社の個人情報保護マネジメントシステム(PMS)運用体制を見てきました。必要最低限の体制から、かなり手厚い体制まで、様々な社内体制を構築して皆様Pマークの取得、運営を行っています。その一方で、現状の体制についてリソース不足や機能不全等、課題を抱えている会社もあるようです。

各社、どのよう社内体制で構築、運用しているのでしょうか。

まず、Pマークを取得するうえで、必須となる役職について確認しましょう。JISQ15001:2006 3.3.4資源、役割、責任及び権限の要求事項及び3.7.2監査の要求事項を見てみると
1. 個人情報保護管理者
2. 個人情報保護監査責任者
の2つは必須の役職となります。別の言い方をすれば、この2つさえ定めておけば、Pマークは取得上は問題ないわけです。

ただし、会社によっては、これだけでは足りない場合があるでしょう。例えば、個人情報管理責任者は個人情報保護に関する社内の責任者ですが、お一人で社内の統制を取ることができますか?もし、人が足りないようであれば、補佐的な位置付けの役職を設けた方が宜しいかもしれません。

補佐的な役職を、ここでは仮に「個人情報副管理者」としましょう。個人情報副管理者を各部門に一人ずつ設置してみると、
・全体的な統制、副管理者への作業指示:管理責任者
・担当部門の統制、指示に基づく作業:副管理者
となり、個人情報保護管理者の負担は軽減されると思われます。

続いて、個人情報保護に関する意思決定の観点から考えてみましょう。皆様の会社の個人情報保護に関する規程を見てみてください。意思決定者が個人情報保護管理者に集中していませんか?

これが会社の現状と合致していれば問題ないと思われますが、実際は意思決定を下す際、様々な方が集まり合議制で意思決定をしていませんか?そのような会社であれば、意思決定機関を設けても宜しいかと思われます。意思決定機関は、「情報セキュリティ委員会」や「個人情報保護委員会」などと呼ばれる場合が多いようです。

委員会は社長をはじめとして個人情報保護管理者、役員などにより構成されることが多いようです。要は意思決定権を持っている方が一堂に会し、最終決定を下す場ですね。

では次に、ITの観点から見てみましょう。JISQ15001の要求事項には安全管理措置があり、当然Pマーク取得企業では、サーバやクライアントPC、ネットワークやウイルス対策の規程を整備されていると思われます。これらの規程というのは、個人情報を漏えい、紛失などから防ぐため、リスクに応じて定期的に加筆修正されるべきものです。従いまして、個人情報保護管理者は、結果的にITにも関与することとなります。

しかし、個人情報保護管理者の中にはITに精通していない方も多く、結果的に、ITに関するリスク対策が疎かになってしまうことが考えられます。そうならないためにも、個人情報保護体制の一部に、ITの管理者を含めるのも宜しいかと思われます。

一般的には「サーバ管理者」、「ネットワーク管理者」、「クライアントPC管理者」といった名称で呼ばれる方たちです。社内に情報システム部門があれば、そこの部門長クラスの方、専門の部門がなければ、社内でITに精通している方がなる場合が多いようですね。この、ITの管理者と個人情報保護管理者がタッグを組み、個人情報のITに関する安全管理を推し進めていくことになります。

今度は、監査について考えてみましょう…

【執筆:浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column12.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×