運用の確認の必要性【Ｐマーク取得の基礎知識】

プライバシーマーク（Pマーク）の取り組みにおいて欠かせないのは、計画を実行することだけでなく、実行したことが目標達成につながっているかを点検することでもあります。

よく個人情報保護マネジメントシステムはPDCAサイクルによって運用すべきだといわれますが、点検とはこのサイクルの「C」にあたる重要なフェーズです。

運用の確認とは

プライバシーマーク（Pマーク）の規格では点検を目的とした活動がいくつか定められています。「監査」や「代表者による見直し」などがそれに含まれますが、もう一つ「運用の確認」という活動がプライバシーマーク（Pマーク）の要求事項として掲げられています。

「運用の確認」とは何でしょうか。運用の確認とはプライバシーマーク（Pマーク）取得会社内の各部門が部門単位で日常的に個人情報保護のためのルールが守られているかをチェックする活動のことです。

しかしなぜ監査といった点検のための活動があるのにあえて「運用の確認」までしなければならないのでしょうか。今回の記事では運用の確認の必要性について少し考えてみたいと思います。

頻度が高いため不適合の早期発見につながりやすい

プライバシーマーク（Pマーク）では監査は最低1年に1度行えばよいこととされています。2年に1度のプライバシーマーク（Pマーク）更新審査に比べると頻度は高いですが、それでも1年に1度というのはすべての運用状況を綿密に確認するうえでは決して十分な頻度といえません。

ではこの1年の間にルールの不順守や何らかのリスクが発生している場合、会社はどのようにしてそれを発見すればよいのでしょうか。ここに運用の確認の必要性があります。つまり監査のような大規模な点検で確認できないところを、もっと頻繁に行うことのできる日常的な運用の確認によってカバーするのです。

運用の確認の頻度は“毎週”とか“月○回”などと各プライバシーマーク（Pマーク）取得会社で決めることができますが、いずれにせよこまめに行うことによって是正すべき点の早期発見につなげることができるわけです。

部門ごとに行うため現場特有の不適合を発見しやすい

当然ながら業務のことを最もよく把握しているのはそんな部門の責任者や従業員です。個人情報の取り扱いについても部門ごとに特有の注意点があると思いますが、その点をもれなくチェックできるのも運用の確認の機会です。

監査ではどうしても全社的な視点で個人情報マネジメントシステムの点検を行いますので、詳細な部分については点検できないこともあります。それでも監査では難しい詳細な点検を運用の確認によってカバーできているとすれば、かなり質の高いプライバシーマーク（Pマーク）の運用ができることになります。

まとめ

ここまでで運用の確認の必要性を2つの観点から考慮しました。プライバシーマーク（Pマーク）の規格で運用の確認の方法について詳細まで決められているわけではありません。ですからこの活動の効果をどれほど高められるかは各プライバシーマーク（Pマーク）取得会社の取り組み方にかかっているといっても過言ではありません。

自社や自部門の運用の確認が正しく機能しているか改めて確認してみてください。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】