2つのPDCAサイクル【Ｐマーク取得の基礎知識】

プライバシーマーク（Pマーク）を取得している会社にとってPDCAについての正しい知識は不可欠なものです。
今回は少し踏み込んで、個人情報保護の取り組みにおけるPDCAには大きく分けて2つの種類があるということを説明したいと思います。

“小さな”PDCAサイクル

これは会社が日常的なレベルで行うPDCA、あるいは必要に応じてその都度行うPDCAのことです。
比較的短い期間でサイクルが一巡しますから、ここでは“小さな”PDCAと呼ぶことにします。

一例を挙げて考えましょう

個人情報保護に努めている会社であっても、時には情報の紛失や盗難などのセキュリティ事故が起こることがあります。
そのような問題が発生した場合は事故の被害を食い止めるただちに手を打たなければなりません。
とはいえ事故が一件落着すればそれで終わり、というわけにはいきません。
再び同じ事故が発生しないよう対策を計画し、計画を運用し、運用の結果を点検し、そこからさらに改善を図っていくべきなのです。

このようにセキュリティ事故という突然生じた出来事から臨時的に一つのPDCAが生まれるわけです。
数ヵ月に及ぶPDCAになるか、それとも短期で完結するかは起きた出来事次第です。

“大きな”PDCAサイクル

もし会社が上に述べたような“小さな”PDCAしか実践していないとしたらどうでしょうか。
何かの事態が発生しない限りPDCAサイクルは生まれないことになります。
これでは会社も一向に情報セキュリティの面で成長できませんし、個人情報保護という目的も達成できません。

そういうわけでプライバシーマーク（Pマーク）取得会社はあらかじめ時期を定めて取り組むPDCAを、個々の問題や課題ごとに生まれるPDCAとは別に確立しなければなりません。
これは1年や2年という長期で一巡するPDCAで、なおかつ情報保護に関連した会社の課題を総合的にとらえたうえで運用されるPDCAです。
“大きな”PDCAサイクルと呼ぶのはそのためです。

たとえば社員のための年間を通じたセキュリティ教育を計画して実行したりすることが“大きな”PDCAに含まれるでしょう。
また個人情報保護関連の年間目標を立てて活動することも含まれます。

まとめ

ここまでで2種類のPDCAを簡単に説明させていただきました。

“小さな”PDCAをおろそかにすると情報保護の取り組みは形だけのものになりかねませんし、“大きな”PDCAをおろそかにすると本質を見失ったセキュリティ対策に終始してしまうおそれがあります。
2つのサイクルをバランスよく運用することが個人情報保護には欠かせないのです。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】