Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 プライバシーマークを取得、運用するための社内体制 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.19(木)

Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 プライバシーマークを取得、運用するための社内体制

特集 特集

プライバシーマークやISO27001などの認証取得のコンサルティング業務の
一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column12.html

こんにちは。ここ最近は、JIS規格の要求事項を解説していましたが、今回は別の話題についてお話しようと思います。今日お話するのは、プライバシーマークを取得、運用するために必要な社内体制についてです。

私は職業柄、様々な会社の個人情報保護マネジメントシステム(PMS)運用体制を見てきました。必要最低限の体制から、かなり手厚い体制まで、様々な社内体制を構築して皆様Pマークの取得、運営を行っています。その一方で、現状の体制についてリソース不足や機能不全等、課題を抱えている会社もあるようです。

各社、どのよう社内体制で構築、運用しているのでしょうか。

まず、Pマークを取得するうえで、必須となる役職について確認しましょう。JISQ15001:2006 3.3.4資源、役割、責任及び権限の要求事項及び3.7.2監査の要求事項を見てみると
1. 個人情報保護管理者
2. 個人情報保護監査責任者
の2つは必須の役職となります。別の言い方をすれば、この2つさえ定めておけば、Pマークは取得上は問題ないわけです。

ただし、会社によっては、これだけでは足りない場合があるでしょう。例えば、個人情報管理責任者は個人情報保護に関する社内の責任者ですが、お一人で社内の統制を取ることができますか?もし、人が足りないようであれば、補佐的な位置付けの役職を設けた方が宜しいかもしれません。

補佐的な役職を、ここでは仮に「個人情報副管理者」としましょう。個人情報副管理者を各部門に一人ずつ設置してみると、
・全体的な統制、副管理者への作業指示:管理責任者
・担当部門の統制、指示に基づく作業:副管理者
となり、個人情報保護管理者の負担は軽減されると思われます。

続いて、個人情報保護に関する意思決定の観点から考えてみましょう。皆様の会社の個人情報保護に関する規程を見てみてください。意思決定者が個人情報保護管理者に集中していませんか?

これが会社の現状と合致していれば問題ないと思われますが、実際は意思決定を下す際、様々な方が集まり合議制で意思決定をしていませんか?そのような会社であれば、意思決定機関を設けても宜しいかと思われます。意思決定機関は、「情報セキュリティ委員会」や「個人情報保護委員会」などと呼ばれる場合が多いようです。

委員会は社長をはじめとして個人情報保護管理者、役員などにより構成されることが多いようです。要は意思決定権を持っている方が一堂に会し、最終決定を下す場ですね。

では次に、ITの観点から見てみましょう。JISQ15001の要求事項には安全管理措置があり、当然Pマーク取得企業では、サーバやクライアントPC、ネットワークやウイルス対策の規程を整備されていると思われます。これらの規程というのは、個人情報を漏えい、紛失などから防ぐため、リスクに応じて定期的に加筆修正されるべきものです。従いまして、個人情報保護管理者は、結果的にITにも関与することとなります。

しかし、個人情報保護管理者の中にはITに精通していない方も多く、結果的に、ITに関するリスク対策が疎かになってしまうことが考えられます。そうならないためにも、個人情報保護体制の一部に、ITの管理者を含めるのも宜しいかと思われます。

一般的には「サーバ管理者」、「ネットワーク管理者」、「クライアントPC管理者」といった名称で呼ばれる方たちです。社内に情報システム部門があれば、そこの部門長クラスの方、専門の部門がなければ、社内でITに精通している方がなる場合が多いようですね。この、ITの管理者と個人情報保護管理者がタッグを組み、個人情報のITに関する安全管理を推し進めていくことになります。

今度は、監査について考えてみましょう…

【執筆:浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column12.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×