fbpx

情報セキュリティにまつわる
お役立ち情報を発信

2つのPDCAサイクル【Pマーク取得の基礎知識】

 

プライバシーマーク(Pマーク)を取得している会社にとってPDCAについての正しい知識は不可欠なものです。
今回は少し踏み込んで、個人情報保護の取り組みにおけるPDCAには大きく分けて2つの種類があるということを説明したいと思います。

 

“小さな”PDCAサイクル

これは会社が日常的なレベルで行うPDCA、あるいは必要に応じてその都度行うPDCAのことです。
比較的短い期間でサイクルが一巡しますから、ここでは“小さな”PDCAと呼ぶことにします。

 

一例を挙げて考えましょう

個人情報保護に努めている会社であっても、時には情報の紛失や盗難などのセキュリティ事故が起こることがあります。
そのような問題が発生した場合は事故の被害を食い止めるただちに手を打たなければなりません。
とはいえ事故が一件落着すればそれで終わり、というわけにはいきません。
再び同じ事故が発生しないよう対策を計画し、計画を運用し、運用の結果を点検し、そこからさらに改善を図っていくべきなのです。

このようにセキュリティ事故という突然生じた出来事から臨時的に一つのPDCAが生まれるわけです。
数ヵ月に及ぶPDCAになるか、それとも短期で完結するかは起きた出来事次第です。

 

“大きな”PDCAサイクル

もし会社が上に述べたような“小さな”PDCAしか実践していないとしたらどうでしょうか。
何かの事態が発生しない限りPDCAサイクルは生まれないことになります。
これでは会社も一向に情報セキュリティの面で成長できませんし、個人情報保護という目的も達成できません。

そういうわけでプライバシーマーク(Pマーク)取得会社はあらかじめ時期を定めて取り組むPDCAを、個々の問題や課題ごとに生まれるPDCAとは別に確立しなければなりません。
これは1年や2年という長期で一巡するPDCAで、なおかつ情報保護に関連した会社の課題を総合的にとらえたうえで運用されるPDCAです。
“大きな”PDCAサイクルと呼ぶのはそのためです。

たとえば社員のための年間を通じたセキュリティ教育を計画して実行したりすることが“大きな”PDCAに含まれるでしょう。
また個人情報保護関連の年間目標を立てて活動することも含まれます。

 

まとめ

ここまでで2種類のPDCAを簡単に説明させていただきました。

“小さな”PDCAをおろそかにすると情報保護の取り組みは形だけのものになりかねませんし、“大きな”PDCAをおろそかにすると本質を見失ったセキュリティ対策に終始してしまうおそれがあります。
2つのサイクルをバランスよく運用することが個人情報保護には欠かせないのです。

★こちらの記事もおすすめです!
【シャレにならない新ルール(EUの個人情報保護)【GDPRでISMS取得も有効な対策】】

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る