Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 プライバシーマーク取得における社内体制について
プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
特集
特集
株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column04.html
皆さんこんにちは。今回は、プライバシーマークを取得するための社内体制についてお話ししようと思います。
コンサルティングを実施させていただくと、そのプロジェクト自体、スムーズに計画通り進むことも、計画通り進まず遅れてしまったり、場合によっては中断してしまうこともあります。それらの状況を分析してみますと、それぞれ構築を進める社内体制に特徴があるようです。ちなみに、私たちコンサルタントは仕事柄、今まで多くの「事務局」(プライバシーマークを取得するためのプロジェクトメンバー)にお会いする機会があります。特に社内体制でも、この事務局メンバーによって左右される面が大きいように見受けられます。
まず、うまく進まないことが多いケースについてお話ししようと思います。このようなケースで多いのが、大きく3パターンあると思います。
▽パターン1
「全社的に事務局メンバーを集めていない」
プライバシーマークは全社で取得するものです。また、社内のほとんど全ての部署で個人情報は取り扱っていると思います。これらの状況を考慮すると、やはり事務局メンバーは特定の部門だけでなく、各部門から満遍なく選出しなければ、実状を把握することも難しいですし、体制を構築しても、実際に導入する時に協力が得られないという問題が起こりえます。それが難しいようであれば、せめて各業務に精通されている方を入れた方が良いでしょう。特に、スタッフ部門は応募者や従業員、取引先、株主等の個人情報情報を取り扱っており、数量も多いため、事務局にスタッフ部門の方が入っていないと、個人情報の洗い出しやリスク評価に苦戦することが多いようです…
※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column04.html
《ScanNetSecurity》