個人情報保護マネジメントシステム(PMS)
個人情報保護マネジメントシステム (Personal information protection Management System)のことを、略してPMSといいます。体制構築や規格のことをお話する際にこの略称が使われます。個人情報保護に関するルールを構築する上で、手順を作成・実行・見直し・改善するというPDCAをまわし、体系立った仕組み作りをしていくため、マネジメントシステムという言葉が用いられています。
※規格改訂以前(JISQ15001:1999)では、規格が「個人情報に関するコンプライアンス・プログラム要求事項」となっていたため、「CP」と表現される場合もあります。
特に「JISQ15001:2006」では、「マネジメントシステム」という点が意識されています。なので、ルール作成の中で「PDCA」をしっかりと意識し、より自社に沿った形のマネジメントシステムを作っていくことが理想です。
しっかりとした体制構築が必要な理由
PMSにも、良し悪しがあります。
良いPMSとは、業務を考慮し、しっかりと無理ない状態でPDCAサイクルが回っており、定期的な見直しによりルールのアップデートが行われているというものです。悪いPMSとは、上記の逆で、PDCAをしっかり回せず、ルールが形骸化してしまっている状態のものです。
なぜこのようなことが起こるのでしょう。
答えは最初のルール作り・PDCAの「Plan」にあたるところにあると考えています。ここで、いかに詳細に業務内容や個人情報、リスクなどの洗い出しがされ、無理のない計画が定められているかによって、PMSの質が決まってくるのではないでしょうか。そして、無理のないプランで、ルールの運用、チェック、見直しと、しっかりPDCAを回していけば、よりよい個人情報保護体制のサイクルが出来上がります。そして、この良いサイクルが出来上がることにより、業務効率が上がると共に、個人情報の漏えいリスクは軽減されていきます。
PMSが上手く機能していないと、認証があっても、個人情報の漏えいリスクは軽減されません。
PMSはあくまでリスクの予防策、「個人情報を漏えいさせないための体制作り」です。プライバシーマークを持っているからといって、個人情報が絶対にもれないという保障はありません。
ガチガチのルールを作ったが、業務に支障が出たので結局ルールを守っていない、などの理由で形骸化してしまったり、全て代行会社に任せてしまい、自社での運用は一切しないとなると、PMSも認証も絵に描いた餅となってしまいます。
むしろ、プライバシーマークを取得しているからこその責任が生まれ、かえって個人情報が漏れてしまったときのダメージやイメージの損失は大きくなってしまうというデメリットもあります。さらに、PMS体制が上手く機能しておらず、PDCAが健全に回っていない状態でプライバシーマークを維持しようとしても、コストとなってしまいます。
ですので、PMS策定の際には、業務や働き方のことを考えつつ、そこに最適なルールをいかに充てていけるかが重要なのです。
プライバシーマーク取得は、会社を挙げての一大イベントでもあります。折角ですので、よりよい体制作りを目指し、財産にしていきましょう!
