Pマークを取得すると会社は”手順”に強くなる

プライバシーマーク（Pマーク）取得のメリットは個人情報保護が強化されることだけではありません。

もっと本質的な部分として、業務手順の定め方や進め方がうまくなります。

業務の手順を確立するうえでは以下の3つの要素を踏まえることが不可欠ですが、会社はプライバシーマーク（Pマーク）取得に向けて取り組むことでそれを実践する技術を身に着けていくことができます。

方法　～どのように？～

手順のかなめとなるのは目的とすることを“どのように”行うかを明確にすることです。

これはつまり業務を「方法」という軸で見ることです。

プライバシーマーク（Pマーク）を取得するためのすべての行動も、方法が定まっていなければ効率的なものとはなりえません。

“どのように”に含まれるのは主に「フロー」と「手段」です。

「フロー」とはまさに手順のことで、どのような順序で物事を行っていくかという部分に当たります。

特にプライバシーマーク（Pマーク）の下位マニュアルを作る際は、「1. ○○をする　2.△△を更新する…」といった具合に箇条書きにできるほど手順が整理されているのがベストと言えます。

「手段」とは定められた方法を実践するための具体的な道具のことを指します。例を挙げるなら、単に「信頼できるアンチウイルスソフトウェアを導入してウイルス対策をする」ではなく、会社として具体的にどのソフトをインストールするのかを明確にする、といった具合です。

役割　～だれが？～

方法が定められていても“だれが”行うかが不明確であれば、結局のところだれもその業務を行わないということになりかねません。

こうならないために必要なのは手順を「役割」という軸で見ることです。

“だれが”という部分には少なくとも次の3つの点が含まれます。

一つ目は「実施する人はだれか」という点です。

マニュアルには「Pマーク監査責任者が～」とか「○○業務の担当者は～」などと書くかもしれませんが、いずれにしても該当する本人が「これは自分の役割だ」とはっきり理解できるような手順の周知を行わなければなりません。

二つ目は「チェックする人はだれか」という点です。プライバシーマーク（Pマーク）関連のすべての手順にチェックする人が必要なわけではありませんが、必要な場合は必ず実施された作業をチェックする役割がだれにあるのかを明確にするようにしましょう。

三つ目は「承認する人はだれか」です。社員によって実施された作業は必ず社内の責任者によって承認される必要があります。

この場合も承認者がだれかをはっきりさせることで責任の所在を明確にすべきです。

スケジュール　～いつ？～

方法と役割が決まっていてもそれを“いつ”行うべきかが不明確であれば、適切なタイミングで業務を行うことができなくなってしまいます。

プライバシーマーク（Pマーク）を取得するための手順を定める際は、“いつ”実施するかという部分、すなわち「スケジュール」軸が抜けていないかを確認してください。

「毎年5月に代表者による見直しを行う」というように具体的な時期を特定できる場合は手順にもそれを反映させましょう。

具体的な時期が決まっていない行動の場合でも、「“社員が入社したときは”秘密保持契約を交わす」といった具合に行動の始まりとなるタイミングを明確にしておくことが必要です。

まとめ

いつ、だれが、どのように業務を行うかという点を明確にすると、手順が一層実務に即したものとなります。

プライバシーマーク（Pマーク）は手順を作る際に必ずこれらの点も定めるよう要求しています。

企業様にとっては、社内の業務の手順やしくみを根本から改善するという意味でもプライバシーマーク（Pマーク）取得を検討するのは大変有意義なことであるに違いないと考えます。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】