Pマークの「マネジメントシステム」って？

プライバシーマーク（Pマーク）の取得や運用において絶対に避けては通れないもの、それは「個人情報保護マネジメントシステム」という概念です。

そもそもプライバシーマーク（Pマーク）取得制度とは「JIS規格に基づいて個人情報保護マネジメントシステムを適切に運用している組織を認証する制度」ですから、プライバシーマーク（Pマーク）と個人情報保護マネジメントシステムが切っても切れない関係にあることについては異論を挟む余地がありません。

ところがプライバシーマーク（Pマーク）を取得・更新している会社の担当者であっても、「個人情報保護マネジメントシステムっていったい何ですか？」と質問されるとどうでしょうか。うまく説明できないという方も少なからずいらっしゃるのではないでしょうか。

そこで今回は初心に返り、「マネジメントシステム」とは結局のところ何なのかという問いに対する答えを出していきたいと思います。

マネジメントシステムとは？

一言で言うとマネジメントシステムとは「目標を達成するためのまとめられた取り組み」です。

ポイントは“まとめられた取り組み”という部分です。少し例を交えて考えてみましょう。

マネジメントシステムの例

ダイエットするという目標があるとします。当然目標を掲げるだけでは何も変わりません。必要なのは行動すなわち“取り組み”です。ダイエットを目指して行動を開始することによって少しずつ自分の理想に近づいていくわけです。

しかし最も重要な問題は“どのように”取り組むかです。

Aさんはダイエットとして思いつくことをその場その場で考えて実行します。確かに目標に向けて取り組んでいるのですが、その取り組みは常に突発的で単一的、短期的なものです。

一方Bさんは初めに計画を立てます。ダイエットを成功させるために必要なありとあらゆる要素を考慮し、それぞれにおいていつ、何を、どの程度行うかを決めます。食事や運動はもちろんのこと、ほかにもダイエットに必要な情報の取得方法、予算、ダイエットのスケジュール、短期と長期の目標、測定方法、モチベーションを維持する方法、家族の協力、挫折した時の対処法など、ダイエットに関係するすべての要素を統合して取り組みを開始するわけです。取り組みがバラバラではなく見事にまとまっているところが特徴です。

さてAさんとBさん、どちらが最終的にダイエットを成功させるでしょうか？ 「目標を達成するためのまとめられた取り組み」をもって行動したBさんのほうではないでしょうか。

そしてこのBさんのやり方こそが「マネジメントシステム」です。目標は異なりますが、プライバシーマーク（Pマーク）取得会社はまさにこのような取り組みを個人情報保護という目的達成のために行うのです。

Ｐマークとマネジメントシステム

お客様の個人情報を保護するという目標においても、単に「データにパスワードかける」とか「個人情報リストは社外に持ち出さない」などの個別の対策を立てるだけでは不十分です。

関係するあらゆる要素を多方面から検討し、それらをすべて個人情報保護という一つの目的に向けて連動させていくのです。プライバシーマーク（Pマーク）がプライバシーポリシーの確立、法令順守、リスク分析、従業員や委託先の監督、文書の管理、記録、苦情の処理、是正処置や予防処置、監査、マネジメントレビューなど、多方面にわたる活動を要求しているのはまさにそのためなのです。

まとめ

これらの活動のすべてが会社の個人情報を保護するという目的に寄与する形でなされているなら、それは「個人情報保護マネジメントシステム」が正しく機能している証拠となるのです。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】