会社のトップは何をするべきか?
規格に「事業者の代表は~」と書かれている要求は会社のトップに関する要求事項となります。
なお、この要求事項は個人情報保護マネジメントシステムの核となる要求で、以下のようなことが記載されています。
■個人情報保護マネジメントシステムを確立、実施、維持、改善するための資源(人・金・ノウハウ・設備など)を用意すること
■個人情報保護マネジメントシステムを効果的に実施するため、役割、責任、権限を定め、文書化したものを社員へ周知すること
■社内から個人情報保護管理者を任命し、業務を実施させること
業務①:個人情報保護マネジメントシステムの実施及び運用に関する業務
業務②:トップが見直し及び改善するための個人情報保護マネジメントシステムの運用状況の報告
個人情報保護管理者を任命する
個人情報保護管理者とは個人情報保護マネジメントシステムの実施・運用に関する責任と権限を有する人を指し、会社のトップに次ぐ個人情報保護マネジメントシステムの最高責任者です。
個人情報保護管理者を任命するにあたり以下の注意点があります。
■各個人情報や各事業部単位で責任者を任命する場合、責任が不明確になることを避けるために、各責任者の役割や責任・権限の明確化や、「個人情報保護管理者」と「各責任者」の役割及び責任権限の範囲を明確にする必要があります。
■個人情報保護管理者に任命する要員の適切性を考慮すること。個人情報保護管理者は社外(お客様企業や消費者など)に責任のもつことができる者(役員クラスなど)を指名することが望ましい。
個人情報保護管理者の仕事
個人情報保護管理者は個人情報保護マネジメントシステムの運用状況を会社のトップへ報告します。この報告内容に基づき、会社のトップは個人情報保護マネジメントシステムの見直し(マネジメントレビュー)を実施します。したがって、この報告は重要な報告事項となりますので、以下の内容を含むことが望ましいでしょう。
■教育や訓練の実施状況
■日常点検の結果
■是正処置(再発防止のための処置)及び予防処置(発生を未然に防止するための処置)の状況