2020年03月31日

Pマーク規格をわかりやすく解読する【A.3.3 計画(後編)】

lrmcorp
LRM株式会社 記事一覧
カテゴリー: 規格解説,
このエントリーをはてなブックマークに追加 LINEで送る

「Pマーク規格をわかりやすく解読する」シリーズの5回目は、引き続き「A.3.3 計画」について見て行きたいと思います。

※今回利用する「Pマーク規格」とは、JIS Q 15001:2017を指します。
※用語の定義は、JIS Q 15001:2017によります。

「A.3.3 計画」については少々長くなりますので、前編中編、後編に分けて解説しています。

今回は「A.3.3.5 内部規程」から「A.3.3.7 緊急事態への準備」に関するお話になります。

A.3.3.5 内部規程

ここでは、定めた手順などのルールを文書化し、たとえ担当者が変わっても継続して個人情報マネジメントシステムを運用していくことが求められています。

形式としては、一つの規程にまとめる必要はなく、必要に応じて規程と細則などに分けて文書化することも可能です。

具体的に、形式ごとのメリット、デメリットを説明していきます。

規程を一冊にまとめる場合

  • メリット
    • 一冊にまとまっているため、保管管理がしやすい
    • ルールなどの確認を一冊で行える
  • デメリット
    • 一冊のページ数が多くなるため、誰が見ても分かりやすい目次にするなどといった実用性のある工夫が必要

規程と細則に分ける場合

  • メリット
    • 安全管理措置や内部監査などといったPDCAサイクルの取り組みごとにルール文書が用意できる
  • デメリット
    • 冊数が多くなるため、保管管理が面倒
    • ルールを確認する際、複数の規程や細則をまたぐ必要が出てくる

A.3.3.6 計画策定

ここでは、個人情報マネジメントシステムを運用する際に必要となる計画を立案し、維持しなければならないことが書かれています。

主な計画として「教育」、「監査」があります。

「教育」では、

  • 開催日時
  • 教育プログラム
  • 教材
  • 教育の対象者
  • 講師(eラーニングでも可)

などを計画する必要があります。

「監査」では、

  • 監査目的
  • 監査対象
  • 監査チェックリスト
  • スケジュール
  • 予算

などを計画する必要があります。

PマークでのPDCAサイクルは1年周期での取り組みとなり、年一回、「教育」「監査」の計画を行い、計画書や実施記録を残す必要があります。

計画を策定することは、個人情報マネジメントシステムのPDCAサイクルを回す一つの基準となります。

実施時期と実施状況を管理できる年間スケジュールなどを用意することで、PDCAサイクルの全体像が確認できるため、「監査」、「教育」などの計画をより確実に行っていくことが出来ます。

A.3.3.7 緊急事態への準備

ここでは、「緊急事態の特定手順」と、「緊急事態への対応手順」を確立することが求められています。

緊急事態の特定手順

「緊急事態の特定手順」では、個人情報が漏えいするなどといった緊急事態を発見した場合に、初期対応がしっかりと行えるようにします。

ここでの初期対応とは、個人情報保護管理者への連絡といった情報伝達などを行うことです。

重要となるのが、即時に当事者から報告が上がる仕組みです。

例えば、『相談窓口への問い合わせから、個人情報の漏えい事実が確認され、個人情報保護管理者へ報告する場合』は、緊急時の連絡先などを用意することで、即時に緊急事態の内容を確認することが出来ます。

このように、誰に報告するかといった手順だけでなく、報告するための仕組みも併せて整備する必要があります。

緊急事態への対応手順

「緊急事態への対応手順」では、緊急事態の初期対応後について定めていきます。

緊急事態への対応状況の公表、被害を受けた人への対応などをあらかじめ手順として想定しておく必要があります。

また、緊急事態の対応後は必ず“A.3.8【是正処置】”で定めた手順に従って改善していかなければなりません。

緊急事態への準備が不十分であることで、初動での判断ミスが起こり、混乱した社内での人的ミスによる二次被害が起こるなど、緊急事態では何が起こるかわかりません。

そのため、緊急事態への準備をしっかりと行う必要があるのです。

また、「業務で個人情報を取扱う」ということが、漏えいなどが起こり得る状態であることをしっかりと従業者に教育していくことも緊急事態への準備となります。

このエントリーをはてなブックマークに追加 LINEで送る

2020年3月31日

Pマーク規格をわかりやすく解読する【A.3.3 計画(後編)】

カテゴリー: 規格解説

「Pマーク規格をわかりやすく解読する」シリーズの5回目は、引き続き「A.3.3 計画」について見て行きたいと思います。

※今回利用する「Pマーク規格」とは、JIS Q 15001:2017を指します。
※用語の定義は、JIS Q 15001:2017によります。

「A.3.3 計画」については少々長くなりますので、前編中編、後編に分けて解説しています。

今回は「A.3.3.5 内部規程」から「A.3.3.7 緊急事態への準備」に関するお話になります。

A.3.3.5 内部規程

ここでは、定めた手順などのルールを文書化し、たとえ担当者が変わっても継続して個人情報マネジメントシステムを運用していくことが求められています。

形式としては、一つの規程にまとめる必要はなく、必要に応じて規程と細則などに分けて文書化することも可能です。

具体的に、形式ごとのメリット、デメリットを説明していきます。

規程を一冊にまとめる場合

  • メリット
    • 一冊にまとまっているため、保管管理がしやすい
    • ルールなどの確認を一冊で行える
  • デメリット
    • 一冊のページ数が多くなるため、誰が見ても分かりやすい目次にするなどといった実用性のある工夫が必要

規程と細則に分ける場合

  • メリット
    • 安全管理措置や内部監査などといったPDCAサイクルの取り組みごとにルール文書が用意できる
  • デメリット
    • 冊数が多くなるため、保管管理が面倒
    • ルールを確認する際、複数の規程や細則をまたぐ必要が出てくる

A.3.3.6 計画策定

ここでは、個人情報マネジメントシステムを運用する際に必要となる計画を立案し、維持しなければならないことが書かれています。

主な計画として「教育」、「監査」があります。

「教育」では、

  • 開催日時
  • 教育プログラム
  • 教材
  • 教育の対象者
  • 講師(eラーニングでも可)

などを計画する必要があります。

「監査」では、

  • 監査目的
  • 監査対象
  • 監査チェックリスト
  • スケジュール
  • 予算

などを計画する必要があります。

PマークでのPDCAサイクルは1年周期での取り組みとなり、年一回、「教育」「監査」の計画を行い、計画書や実施記録を残す必要があります。

計画を策定することは、個人情報マネジメントシステムのPDCAサイクルを回す一つの基準となります。

実施時期と実施状況を管理できる年間スケジュールなどを用意することで、PDCAサイクルの全体像が確認できるため、「監査」、「教育」などの計画をより確実に行っていくことが出来ます。

A.3.3.7 緊急事態への準備

ここでは、「緊急事態の特定手順」と、「緊急事態への対応手順」を確立することが求められています。

緊急事態の特定手順

「緊急事態の特定手順」では、個人情報が漏えいするなどといった緊急事態を発見した場合に、初期対応がしっかりと行えるようにします。

ここでの初期対応とは、個人情報保護管理者への連絡といった情報伝達などを行うことです。

重要となるのが、即時に当事者から報告が上がる仕組みです。

例えば、『相談窓口への問い合わせから、個人情報の漏えい事実が確認され、個人情報保護管理者へ報告する場合』は、緊急時の連絡先などを用意することで、即時に緊急事態の内容を確認することが出来ます。

このように、誰に報告するかといった手順だけでなく、報告するための仕組みも併せて整備する必要があります。

緊急事態への対応手順

「緊急事態への対応手順」では、緊急事態の初期対応後について定めていきます。

緊急事態への対応状況の公表、被害を受けた人への対応などをあらかじめ手順として想定しておく必要があります。

また、緊急事態の対応後は必ず“A.3.8【是正処置】”で定めた手順に従って改善していかなければなりません。

緊急事態への準備が不十分であることで、初動での判断ミスが起こり、混乱した社内での人的ミスによる二次被害が起こるなど、緊急事態では何が起こるかわかりません。

そのため、緊急事態への準備をしっかりと行う必要があるのです。

また、「業務で個人情報を取扱う」ということが、漏えいなどが起こり得る状態であることをしっかりと従業者に教育していくことも緊急事態への準備となります。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする