Pマークのマネジメントレビューで扱う7つの議題 その2

プライバシーマーク（Pマーク）を取得した会社が最低でも年に一度マネジメントレビューを行うべきことは前回の記事で述べたとおりです。

マネジメントレビューとは個人情報保護の運用に関して会社の代表者を交えて話し合う場のことを言います。前回に引き続きマネジメントレビューで扱う議題にどのようなものがあるか考えてみましょう。

個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況

個人情報に関する法律は随時改正されます。会社として常に最新の法令を順守するためにもマネジメントレビューでは法律の改正状況に関する検討を行います。

ただし法律の改正の細かい点を一つ一つマネジメントレビューで取り上げるのは現実的でない場合もありますので、あくまで改正状況の全体像を代表者が考慮できることを目的として行う必要があるでしょう。

とりわけ改正個人情報保護法やマイナンバー制度の施行は会社のプライバシーマーク（Pマーク）の運用に大きな影響を与えますので、マネジメントレビューにおいても重点的な検討を要します。

社会情勢の変化，国民の認識の変化，技術の進歩などの諸環境の変化

マネジメントレビューでは個人情報保護に関する社会からのニーズがどのように変わっているか、またセキュリティを取り巻く世の中の技術がどのように進展しているかについて意見を出し合うようにしましょう。

これは要するに会社の“外側”の変化を把握し、それに応じたプライバシーマーク（Pマーク）の運用を行おうということなのです。プライバシーマーク（Pマーク）取得会社に求められるのは、アンテナを外に向けて世の中の潮流やニーズにかかわる情報を常にキャッチしていくことです。

事業者の事業領域の変化

「事業者の事業領域」とはすなわち自社のサービスのことです。サービスが変われば当然扱う個人情報も変わりますし、扱う個人情報が変わればセキュリティやプライバシーマーク（Pマーク）取得会社としての運用体制も変わるはずです。おそらく規定や手順も更新も必要になります。事業領域の変化やその可能性もマネジメントレビューで扱うべき議題の一つです。

こちらは要するに会社の“内側”の変化を把握し、それに応じたプライバシーマーク（Pマーク）の運用を行おうということです。

もし前回のマネジメントレビュー以降に会社の事業や戦略や顧客ターゲットが変化しているなら、それによって新しいリスクが生じていないかとか手順の変更が必要になっていないかなどを検討する必要があります。

内外から寄せられた改善のための提案

マネジメントレビューの議題として欠かすことができないのは「改善のための提案」です。

日常の業務の中で社員から上がってくる「プライバシーマーク（Pマーク）の運用でこういったところをもっとよくしたほうがいいのでは」というような提案や、顧客へのアンケートから取得できた意見などを取り上げて議論することができるかもしれません。

まとめ

ここまででマネジメントレビューで議題にすべき7つの項目をご紹介しました。

形式も大事ですが、それよりはるかに大事なのは中身の充実したマネジメントレビューを行うことです。プライバシーマーク（Pマーク）担当者側が事前にしっかりと情報を収集して臨むなら、マネジメントレビューは有意義なものとなるでしょう。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】