2018年03月28日

個人情報保護マネジメントシステム(PMS)のPDCAサイクルを徹底解説!<Plan編>

lrmcorp
LRM株式会社 記事一覧
カテゴリー: プライバシーマーク,
このエントリーをはてなブックマークに追加 LINEで送る

こんにちは。

今回から、数回に渡って個人情報保護マネジメントシステムと、それを構築・運用するためのPDCAサイクルについて、詳しくお伝えします。

まず、今回の本記事では、個人情報保護マネジメントシステムの概要と、Plan(P)についてご説明をおこないます。

そもそも、個人情報保護マネジメントシステムって?

プライバシーマークを取得するためには、個人情報保護マネジメントシステム(略してPMS)を会社内で構築・運用する必要があります。

個人情報を適切に保護・管理し、社内でルールを策定・運用、年に1回など定期的に教育を実施し、継続的に改善していく仕組みを構築・運用していくことが個人情報保護マネジメントシステムです。

「何を言っているんだ?」と思うかもしれません。

しかし、本ブログでは、具体的に何を実施すれば個人情報保護マネジメントシステムが出来上がるのかを、プライバシーマークの規格と照らし合わせながら解説していきますので、ご安心ください。

Plan:計画

プライバシーマークでは、PDCAサイクルを継続的に回していくことが求められます。

PDCAサイクルとは、Plan(計画)、Do(実行)、Check(点検・確認)、Act(見直し)の頭文字を取ることからそう呼ばれています。

ここでは、冒頭でも述べたとおりPlan(P)についてご説明します。

個人情報保護方針の策定、周知、公表

どこかの会社のホームページで個人情報保護方針を見たことがある人もいるのではないかと思います。

個人情報保護方針は、会社として個人情報をどのように取り扱うのかということ、個人情報を適切に保管するということ、個人情報の取扱いに関する法律等を順守するということなどを宣言するために策定します。

策定するだけでは意味がないので、社外へ周知するためにWebサイトに公表したり、従業員へ周知するために社内掲示したり等の措置を取ることが要求されています。

個人情報保護方針を基に、会社の個人情報保護マネジメントシステムが出来上がっていきます。

個人情報保護の特定

会社内に存在する個人情報を洗い出します。

顧客の個人情報はもちろん、従業員や採用応募者の個人情報など、会社が保有している個人情報を全て特定しましょう。

特定した個人情報は個人情報管理台帳などにまとめ、一覧化して閲覧できるようにすることが要求されます。

個人情報保護に関係する法律・条令・ガイドラインの特定

どんな会社であっても、個人情報保護に関する法律・条令・ガイドラインに則って、事業を行っていかなければなりません。

業種ごとに特定・順守すべきものは違いますが、自分たちはどんな業務を行っていて、何を順守しなければならないのかを認識しましょう。

リスクの特定

特定した個人情報にはどんなリスクがあるかを特定しましょう。ポイントは2つです。

一つは、個人情報を取り扱う各局面におけるリスクを特定することです。

個人情報の取得、利用、保管、提供、移送、廃棄といった局面(個人情報のライフサイクル)におけるリスクが何かを認識しましょう。

もう一つは、媒体が何であるか確認することです。

例えば、個人情報を記録した紙と個人情報が保存されたPCでは、廃棄方法が違います(紙はシュレッダー、PCは物理的に破壊するなど)。

個人情報のライフサイクルと媒体を鑑みて、リスクを特定しましょう。

個人情報保護管理者や内部監査責任者の任命

プライバシーマークでは、上記2つの役職が最低限必要です。

社内の個人情報保護マネジメントシステムの構築・運用を主導する個人情報保護管理者、個人情報保護マネジメントシステムをチェックする立場の内部監査責任者。

どの会社であっても、代表者はこの2つの役職に就く従業員を必ず社内の者から任命しなければなりません(誰でも良いというわけではなく、必ず正社員の中から任命しなければなりません)。

また、それぞれの役職の役割や責任についても明記する必要があります。

その他、マイナンバーを従業員から取得している場合、特定個人情報取扱責任者や担当者の役割・責任も明記しましょう。

教育計画書・監査計画書などの作成

プライバシーマークでは、最低限教育・監査の計画書を作成することが要求されます。

教育・監査の計画書がない場合はNGです。

必ず教育・監査実施前には計画書を作成しましょう。

個人情報を取扱うリスクに対応する「リスク対応計画書」を作成することもあります。

個人情報漏えいや滅失、改ざんといった緊急事態への準備

本来、個人情報漏えいなどは発生してはいけないことですが、万が一発生した場合に備え、その対応手順を規定する必要があります。

これは、万一の際に利害関係者全体へ及ぼす被害を最小限に食い止めることが大きな理由です。

手順としては、緊急事態の状況把握、緊急事態の原因追究及び被害を最小限にするための措置、利害関係者への通知・公表、二次被害防止策、審査機関や経済産業省への報告などが挙げられます。

以上がPDCAサイクルのPに当たります。

今回はここまでにして、次回はPDCAのDについて解説していきたいと思います。

このエントリーをはてなブックマークに追加 LINEで送る

2018年3月28日

個人情報保護マネジメントシステム(PMS)のPDCAサイクルを徹底解説!<Plan編>

カテゴリー: プライバシーマーク

こんにちは。

今回から、数回に渡って個人情報保護マネジメントシステムと、それを構築・運用するためのPDCAサイクルについて、詳しくお伝えします。

まず、今回の本記事では、個人情報保護マネジメントシステムの概要と、Plan(P)についてご説明をおこないます。

そもそも、個人情報保護マネジメントシステムって?

プライバシーマークを取得するためには、個人情報保護マネジメントシステム(略してPMS)を会社内で構築・運用する必要があります。

個人情報を適切に保護・管理し、社内でルールを策定・運用、年に1回など定期的に教育を実施し、継続的に改善していく仕組みを構築・運用していくことが個人情報保護マネジメントシステムです。

「何を言っているんだ?」と思うかもしれません。

しかし、本ブログでは、具体的に何を実施すれば個人情報保護マネジメントシステムが出来上がるのかを、プライバシーマークの規格と照らし合わせながら解説していきますので、ご安心ください。

Plan:計画

プライバシーマークでは、PDCAサイクルを継続的に回していくことが求められます。

PDCAサイクルとは、Plan(計画)、Do(実行)、Check(点検・確認)、Act(見直し)の頭文字を取ることからそう呼ばれています。

ここでは、冒頭でも述べたとおりPlan(P)についてご説明します。

個人情報保護方針の策定、周知、公表

どこかの会社のホームページで個人情報保護方針を見たことがある人もいるのではないかと思います。

個人情報保護方針は、会社として個人情報をどのように取り扱うのかということ、個人情報を適切に保管するということ、個人情報の取扱いに関する法律等を順守するということなどを宣言するために策定します。

策定するだけでは意味がないので、社外へ周知するためにWebサイトに公表したり、従業員へ周知するために社内掲示したり等の措置を取ることが要求されています。

個人情報保護方針を基に、会社の個人情報保護マネジメントシステムが出来上がっていきます。

個人情報保護の特定

会社内に存在する個人情報を洗い出します。

顧客の個人情報はもちろん、従業員や採用応募者の個人情報など、会社が保有している個人情報を全て特定しましょう。

特定した個人情報は個人情報管理台帳などにまとめ、一覧化して閲覧できるようにすることが要求されます。

個人情報保護に関係する法律・条令・ガイドラインの特定

どんな会社であっても、個人情報保護に関する法律・条令・ガイドラインに則って、事業を行っていかなければなりません。

業種ごとに特定・順守すべきものは違いますが、自分たちはどんな業務を行っていて、何を順守しなければならないのかを認識しましょう。

リスクの特定

特定した個人情報にはどんなリスクがあるかを特定しましょう。ポイントは2つです。

一つは、個人情報を取り扱う各局面におけるリスクを特定することです。

個人情報の取得、利用、保管、提供、移送、廃棄といった局面(個人情報のライフサイクル)におけるリスクが何かを認識しましょう。

もう一つは、媒体が何であるか確認することです。

例えば、個人情報を記録した紙と個人情報が保存されたPCでは、廃棄方法が違います(紙はシュレッダー、PCは物理的に破壊するなど)。

個人情報のライフサイクルと媒体を鑑みて、リスクを特定しましょう。

個人情報保護管理者や内部監査責任者の任命

プライバシーマークでは、上記2つの役職が最低限必要です。

社内の個人情報保護マネジメントシステムの構築・運用を主導する個人情報保護管理者、個人情報保護マネジメントシステムをチェックする立場の内部監査責任者。

どの会社であっても、代表者はこの2つの役職に就く従業員を必ず社内の者から任命しなければなりません(誰でも良いというわけではなく、必ず正社員の中から任命しなければなりません)。

また、それぞれの役職の役割や責任についても明記する必要があります。

その他、マイナンバーを従業員から取得している場合、特定個人情報取扱責任者や担当者の役割・責任も明記しましょう。

教育計画書・監査計画書などの作成

プライバシーマークでは、最低限教育・監査の計画書を作成することが要求されます。

教育・監査の計画書がない場合はNGです。

必ず教育・監査実施前には計画書を作成しましょう。

個人情報を取扱うリスクに対応する「リスク対応計画書」を作成することもあります。

個人情報漏えいや滅失、改ざんといった緊急事態への準備

本来、個人情報漏えいなどは発生してはいけないことですが、万が一発生した場合に備え、その対応手順を規定する必要があります。

これは、万一の際に利害関係者全体へ及ぼす被害を最小限に食い止めることが大きな理由です。

手順としては、緊急事態の状況把握、緊急事態の原因追究及び被害を最小限にするための措置、利害関係者への通知・公表、二次被害防止策、審査機関や経済産業省への報告などが挙げられます。

以上がPDCAサイクルのPに当たります。

今回はここまでにして、次回はPDCAのDについて解説していきたいと思います。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする