個人情報保護管理者として誰を任命するか。これはプライバシーマークを取得する際に企業が最初に悩む箇所ではないかと思います。
実際にコンサルティングの際もキックオフの時によくご質問・ご相談いただきます。誰が個人情報保護管理者になるべきか?誰がなるのが最善なのか?特段資格がいるのか?制限はあるのか?逆に誰でも良いのか?やはり様々なご質問をいただきます。
そこで、今回はそのような疑問にお答えしたいと思います。
また、2022年4月に全面施行となった個人情報保護法の改正に伴い、企業が対応すべきポイントをまとめた資料を無料で配布しております。
こちらからダウンロードできますので、ぜひご活用ください。
個人情報保護管理者に資格は必要ない
まず、個人情報保護管理者の仕事についてお話すると、主にはプライバシーマークの仕組みを運用するにあたり、陣頭指揮をとってもらいます。また、プライバシーマークの審査の際は審査の応対をしてもらうことも必要になってきます。
こういったことを個人情報保護管理者になっていただくと行ってもらう必要があるのですが、個人情報保護管理者になるのに特段資格は必要ありません。
制限については強いて言えばその企業の監査役は個人情報保護管理者になることはできません。理由としては会社法335条2項に「監査役は、株式会社若しくはその子会社の取締役若しくは支配人その他の使用人又は当該子会社の会計参与(会計参与が法人であるときは、その職務を行うべき社員)若しくは執行役を兼ねることができない。」とあり、その企業の代表者の監督下に入ることができないためです。
それ以外には特段制限はありませんので、極論を言ってしまえば入社したばかりの新入社員に任せるということも不可能ではないわけです。
ただ、プライバシーマークの要求事項であるJISQ15001:2006の解説に社外に責任が持つことができる者が望ましい。となっているので、理想はその会社の取締役クラスの方がなるのが望ましいです。
個人情報保護管理者に多いのは管理職?
わたしがコンサルティングの際に個人情報保護管理者になっていただきたい方の条件としてあげるのは
- 会社の事業内容を一通り理解している方
- プライバシーマークのルールの運用にあたり、指揮を執ることが出来て、社内に何かを依頼(命令)出来る立場の方
ということを良くあげます。
小さい会社であれば社長がなされるケースもありますが、管理職クラスの方にやっていただくことも多いですし、部署等ある程度組織がしっかりしている企業であれば、総務など管理系の部門の方になっていただくことも多いです。
ただ、先に言ったように特に大きな制限はないので自社の事業内容をきちんと理解されている方であれば一般社員の方であっても個人情報保護管理者になっていただいても問題はない。ということになります。