はじめに
Pマークでは、少なくとも年に一回の単位で台帳の見直しや内部監査の実施を行うことになります。
抜けもれなく実施するためにも、計画を立てて、それをもとに運用していくことが大切になります。
どういった計画を立てていく必要があるのかを確認していきます。
Pマークにおいて必要な計画とは
計画について、Pマークの規格には、次のようにあります。
A.3.3.6 計画策定
組織は、個人情報保護マネジメントシステムを確実に実施するために、少なくとも年一回、次の事項を含めて、必要な計画を立案し、文書化し、かつ、維持しなければならない。
a)A.3.4.5に規定する事項を踏まえた教育実施計画の立案及びその文書化
b)A.3.7.2に規定する事項を踏まえた内部監査実施計画及びその文書化
※A.3.4.5では教育、A.3.7.2では内部監査について規定されています。JIS Q 15001:2017より引用
この規定で求められているのが、教育の計画、内部監査の計画、その他Pマークを運用していくのに必要な計画を立案することになります。
教育計画
Pマークでは、最低でも年に1回、また、中途入社があった場合には都度、従業者へ対して教育を行う必要があります。
そのために、教育計画を立案、文書化することが求められています。
教育計画は以下の項目で構成されます。
- 研修の年間カリキュラム
- 個別の研修プログラム
- 研修名
- 開催日時
- 場所
- 講師
- 受講対象者及び予定参加者数
- 研修の概要
- 使用テキスト
- 任意参加か否かの別
- 有効性の評価方法 など
「A.3.4.5に規定する事項」として、全従業者(社員、役員、アルバイトを含む)に、認識してほしい内容を網羅した教育を行うことが求められているので、どのような内容の教育を、いつ、だれが受講するのかを踏まえた計画を立案する必要があります。
内部監査計画
教育と同様、内部監査も最低年に一回、組織変更があった場合など必要に応じて都度、に実施する必要があり、内部監査計画を立案、文書化することが求められています。
内部監査計画は以下の項目で構成されます。
- 当該年度に実施する監査テーマ
- 監査対象
- 目的
- 範囲
- 手続
- スケジュール など
「A.3.7.2に規定する事項」として、個人情報保護マネジメントシステムの規格への適合状況、運用状況を監査することと部署以外の監査員を立てることが求められています。
要求されていることを満たせるよう、どの部門に誰が監査を行うのか、また、どのような内部監査を行うのかを踏まえた計画を立案する必要があります。
その他Pマークを運用していくのに必要な計画
Pマークを運用していく中で、年に一回実施すべきことは教育、内部監査以外にもあります。
例えば、個人情報を管理するための台帳の見直し、個人情報を取り扱うにあたってのリスクの見直し、委託先の管理、運用の確認、マネジメントレビューの実施などが挙げられます。
年間で計画を立案するか、毎年4月、といったように定期的に実施するようにすることが必要になってきます。
また、リスク対策や内部監査で出た指摘事項に対する是正処置を確実に実施していくために計画を立案します。
終わりに
Pマークを適切に運用し、継続的な改善へつなげていくためには、必要な計画を立案し、その計画通りに実施していくことが重要になります。
また、計画を立て、その計画通りに実施できなかったということがあれば、なぜできなかったのかを検討し、次年度の計画を立案していく際に活かしていきましょう。