このエントリーをはてなブックマークに追加 LINEで送る

プライバシーマーク(以下、Pマーク)の取得、運用を行うにあたり、企業が必ず実施しなければならないこととして「運用確認」があります。本記事では、運用確認の手法について紹介いたします。

運用確認とは

「運用確認」とは、個人情報を適切に取り扱うために作成したルールを従業者が守っているか、定期的に確認することです。
例えば、パスワードルールやスクリーンセーバーの設定、OSのアップデートなどが行えているか、Pマーク担当者が従業者のPCをチェックします。
ルールを作成しても、各従業員がその内容を理解して守っていなければ、意味がありません
個人情報を適切に取り扱う為には、作成したルールが適切に運用されているか確認することが重要になります。
また、確認を行う頻度や項目は、各企業で定めることができ、毎月、3か月に一度、半年に一度といった間隔で行っても問題ありません。

運用確認において確認する項目は?

従業者に対して確認することは、主に安全管理措置に関する項目になります。例えば、紙媒体の取扱いやPCの設定、PCや書類の持ち出し、来客時の対応についてのルールになります。システムの管理者には、アカウントの管理や個人情報へのアクセス権の管理が行えているかの確認を行います。
また、人事・採用の担当者には、入退社時の同意書や誓約書の取り忘れがないかといったように、手順を不備なく行えているかの確認も行います。

運用確認の手法

運用確認を行う方法は決まっていませんが、下記のような方法を取ることが一般的です。

サンプリングで何人かの従業者にヒアリング

一般的な方法として、運用確認において確認する項目をまとめた管理表を作成し、Pマーク担当者が何人かにヒアリング行うという方法です。担当者は、会社の規模により、各部署の責任者や支社ごとに決めて実施している場合があります。
また、テレワークを行っている従業者が多い場合は、zoomなどのビデオ会議ツールで画面共有機能を使用しながら確認するといった方法もあります。

アンケート等によるセルフチェック

こちらは運用の確認を各従業者に任せる方法になります。テレワークを行っている従業者が多い場合に取り入れやすい方法です。一つ目の手法と同様に、確認すべき項目を決め、Googleフォームなどでアンケートを作成し、全従業者へ配布します。そのアンケート結果をPマーク担当者が確認し、ルールが守られているかの確認を行います。
また、人事担当者用、システム管理者用とアンケート項目を考慮してアンケートを用意しておくとより効果的に運用の確認が行えます。

従業者同士でチェック

確認をPマーク担当者ではなく、従業者に任せるのも一つの方法になります。例えば、毎月、Pマーク担当者が従業者の中からランダムに担当を決め、チェックを行います。これは、他部署の人とのコミュニケーションをとるよいきっかけにもなります。
全ての項目の確認を行うのではなく、クリアスクリーンができているかや離席時の画面ロックが日ごろから行えているかは、座席の隣同士でチェックすることも有効的です。

 

まとめ

Pマークを取得する目的として、個人情報を適切に取り扱う体制を構築することが挙げられます。
そのためには、Pマークの担当者だけでなく、全従業者がルールを守り会社全体で取り組むことが重要です。Pマーク担当者は、従業者がルールを守っているか、抜け漏れがないか等の確認を定期的に行いましょう。
また、出来ていなかったからだめというわけでなく、運用確認の中で業務にそぐわないルールがあった場合はルールを見直すきっかけにもなり、より会社にあったルールに改善していくことができます。

このエントリーをはてなブックマークに追加 LINEで送る

「運用確認」の手法を紹介/Pマーク

プライバシーマーク(以下、Pマーク)の取得、運用を行うにあたり、企業が必ず実施しなければならないこととして「運用確認」があります。本記事では、運用確認の手法について紹介いたします。

運用確認とは

「運用確認」とは、個人情報を適切に取り扱うために作成したルールを従業者が守っているか、定期的に確認することです。
例えば、パスワードルールやスクリーンセーバーの設定、OSのアップデートなどが行えているか、Pマーク担当者が従業者のPCをチェックします。
ルールを作成しても、各従業員がその内容を理解して守っていなければ、意味がありません
個人情報を適切に取り扱う為には、作成したルールが適切に運用されているか確認することが重要になります。
また、確認を行う頻度や項目は、各企業で定めることができ、毎月、3か月に一度、半年に一度といった間隔で行っても問題ありません。

運用確認において確認する項目は?

従業者に対して確認することは、主に安全管理措置に関する項目になります。例えば、紙媒体の取扱いやPCの設定、PCや書類の持ち出し、来客時の対応についてのルールになります。システムの管理者には、アカウントの管理や個人情報へのアクセス権の管理が行えているかの確認を行います。
また、人事・採用の担当者には、入退社時の同意書や誓約書の取り忘れがないかといったように、手順を不備なく行えているかの確認も行います。

運用確認の手法

運用確認を行う方法は決まっていませんが、下記のような方法を取ることが一般的です。

サンプリングで何人かの従業者にヒアリング

一般的な方法として、運用確認において確認する項目をまとめた管理表を作成し、Pマーク担当者が何人かにヒアリング行うという方法です。担当者は、会社の規模により、各部署の責任者や支社ごとに決めて実施している場合があります。
また、テレワークを行っている従業者が多い場合は、zoomなどのビデオ会議ツールで画面共有機能を使用しながら確認するといった方法もあります。

アンケート等によるセルフチェック

こちらは運用の確認を各従業者に任せる方法になります。テレワークを行っている従業者が多い場合に取り入れやすい方法です。一つ目の手法と同様に、確認すべき項目を決め、Googleフォームなどでアンケートを作成し、全従業者へ配布します。そのアンケート結果をPマーク担当者が確認し、ルールが守られているかの確認を行います。
また、人事担当者用、システム管理者用とアンケート項目を考慮してアンケートを用意しておくとより効果的に運用の確認が行えます。

従業者同士でチェック

確認をPマーク担当者ではなく、従業者に任せるのも一つの方法になります。例えば、毎月、Pマーク担当者が従業者の中からランダムに担当を決め、チェックを行います。これは、他部署の人とのコミュニケーションをとるよいきっかけにもなります。
全ての項目の確認を行うのではなく、クリアスクリーンができているかや離席時の画面ロックが日ごろから行えているかは、座席の隣同士でチェックすることも有効的です。

 

まとめ

Pマークを取得する目的として、個人情報を適切に取り扱う体制を構築することが挙げられます。
そのためには、Pマークの担当者だけでなく、全従業者がルールを守り会社全体で取り組むことが重要です。Pマーク担当者は、従業者がルールを守っているか、抜け漏れがないか等の確認を定期的に行いましょう。
また、出来ていなかったからだめというわけでなく、運用確認の中で業務にそぐわないルールがあった場合はルールを見直すきっかけにもなり、より会社にあったルールに改善していくことができます。

Author: 宮崎 俊一
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする