Pマークのマネジメントレビューで扱う7つの議題 その1

会社の個人情報保護の運用全体を最終的に確認して評価したり改善を指示したりする立場にあるのはだれでしょうか。それは会社の代表者にほかなりません。

個人情報保護の日々の取り組みを指揮するのは個人情報保護管理者ですが、それでも会社の代表者はその取り組み全体を経営という観点で指揮し、プライバシーマーク（Pマーク）の最終責任を負うこととなります。

これを可能にするためにプライバシーマーク（Pマーク）を取得している会社は必ず年に一回以上マネジメントレビューを行わなければなりません。

マネジメントレビューとは代表者による見直しのことで、個人情報保護の運用に関して会社の代表者を交えて話し合う場のことを言います。この会議においては、まず個人情報保護管理者などのPマーク運用者側から検討材料となる情報が提供され、次いで情報をもとに検討や評価が行われ、最終的に代表者側から「この部分についてはこのように改善してください」という指示が出されることとなります。

このようにマネジメントレビューは検討材料となる情報の提供から始まりますから、どのような情報が議題とされているのかという点は非常に重要になるわけです。そこでこれから2つの記事に分けて、プライバシーマーク（Pマーク）ではマネジメントレビューでどんな議題を扱うよう要求しているのかという点を説明してまいります。

監査及び個人情報保護マネジメントシステムの運用状況に関する報告

プライバシーマーク（Pマーク）取得会社は外部の更新審査とは別に定期的に自社で監査を行わなければなりません。自社のプライバシーマーク（Pマーク）の取り組みが適切かどうかは監査によって点検されるわけですが、この監査の結果はマネジメントレビューで報告される必要があります。

もちろんプライバシーマーク（Pマーク）取得会社は監査の時だけでなく日常の業務の中でプライバシーマーク（Pマーク）の運用状況を確認しているはずです。部署ごとに小規模で行っている運用確認もあるでしょう。日常的に行っているこれらの確認の結果もマネジメントレビューで報告することになります。

苦情を含む外部からの意見

取引先やお客様、あるいはその他の社外関係者から個人情報の取り扱いに関して意見をいただくこともあります。もちろん苦情もあるでしょう。こういった外部からの意見の内容とそれに対する改善策もマネジメントレビューの議題の一つです。

前回までの見直しの結果に対するフォローアップ

前年のマネジメントレビューで指示された改善事項があるなら、それにどのように取り組み、現状がどう改善しているのかを報告しなければなりません。

プライバシーマーク（Pマーク）を取得したばかりの会社で、マネジメントレビュー自体が初めてというところもあるでしょう。このような場合は“前回”がないため見直しができませんから、マネジメントレビューでは「初年度のため取り上げる事象がありません」と報告し、それを議事録に記載し、議題として取り扱ったものと見なすことができます。

まとめ

以上の3つの議題は主にすでに行ってきているPマーク運用の点検という部分に焦点を当てています。この部分の見直しをしっかり行うならば、会社としてもより改善の効果の現れた取り組みができるようになります。

しかし総合的に個人情報保護の運用を向上させたければ、上記の3つの議題以外の点についても見直しを行わなければなりません。他に見直しが必要な4つの議題については次回の記事で取り上げる予定です。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】