Pマーク、ISOコンサル現場の声〜誰も教えない個人情報保護　プライバシーマークを取得、運用するための社内体制

プライバシーマークやISO27001などの認証取得のコンサルティング業務の
一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名祐輔
http://rm.jmc.ne.jp/service/pm/column12.html

こんにちは。ここ最近は、JIS規格の要求事項を解説していましたが、今回は別の話題についてお話しようと思います。今日お話するのは、プライバシーマークを取得、運用するために必要な社内体制についてです。

私は職業柄、様々な会社の個人情報保護マネジメントシステム（PMS）運用体制を見てきました。必要最低限の体制から、かなり手厚い体制まで、様々な社内体制を構築して皆様Pマークの取得、運営を行っています。その一方で、現状の体制についてリソース不足や機能不全等、課題を抱えている会社もあるようです。

各社、どのよう社内体制で構築、運用しているのでしょうか。

まず、Pマークを取得するうえで、必須となる役職について確認しましょう。JISQ15001:2006 3.3.4資源、役割、責任及び権限の要求事項及び3.7.2監査の要求事項を見てみると
1. 個人情報保護管理者
2. 個人情報保護監査責任者
の2つは必須の役職となります。別の言い方をすれば、この2つさえ定めておけば、Pマークは取得上は問題ないわけです。

ただし、会社によっては、これだけでは足りない場合があるでしょう。例えば、個人情報管理責任者は個人情報保護に関する社内の責任者ですが、お一人で社内の統制を取ることができますか？もし、人が足りないようであれば、補佐的な位置付けの役職を設けた方が宜しいかもしれません。

補佐的な役職を、ここでは仮に「個人情報副管理者」としましょう。個人情報副管理者を各部門に一人ずつ設置してみると、
・全体的な統制、副管理者への作業指示：管理責任者
・担当部門の統制、指示に基づく作業：副管理者
となり、個人情報保護管理者の負担は軽減されると思われます。

続いて、個人情報保護に関する意思決定の観点から考えてみましょう。皆様の会社の個人情報保護に関する規程を見てみてください。意思決定者が個人情報保護管理者に集中していませんか？

これが会社の現状と合致していれば問題ないと思われますが、実際は意思決定を下す際、様々な方が集まり合議制で意思決定をしていませんか？そのような会社であれば、意思決定機関を設けても宜しいかと思われます。意思決定機関は、「情報セキュリティ委員会」や「個人情報保護委員会」などと呼ばれる場合が多いようです。

委員会は社長をはじめとして個人情報保護管理者、役員などにより構成されることが多いようです。要は意思決定権を持っている方が一堂に会し、最終決定を下す場ですね。

では次に、ITの観点から見てみましょう。JISQ15001の要求事項には安全管理措置があり、当然Pマーク取得企業では、サーバやクライアントPC、ネットワークやウイルス対策の規程を整備されていると思われます。これらの規程というのは、個人情報を漏えい、紛失などから防ぐため、リスクに応じて定期的に加筆修正されるべきものです。従いまして、個人情報保護管理者は、結果的にITにも関与することとなります。

しかし、個人情報保護管理者の中にはITに精通していない方も多く、結果的に、ITに関するリスク対策が疎かになってしまうことが考えられます。そうならないためにも、個人情報保護体制の一部に、ITの管理者を含めるのも宜しいかと思われます。

一般的には「サーバ管理者」、「ネットワーク管理者」、「クライアントPC管理者」といった名称で呼ばれる方たちです。社内に情報システム部門があれば、そこの部門長クラスの方、専門の部門がなければ、社内でITに精通している方がなる場合が多いようですね。この、ITの管理者と個人情報保護管理者がタッグを組み、個人情報のITに関する安全管理を推し進めていくことになります。

今度は、監査について考えてみましょう…

【執筆：浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column12.html