Pマークにおける承認 ― だれが承認する？【Ｐマーク取得における基礎知識】

プライバシーマーク（Pマーク）を取得している会社の場合、プライバシーマーク（Pマーク）において承認が必要な手順についてはすでに手順を確立して運用していることと思います。

承認者について

たとえばプライバシーマーク（Pマーク）運用にかかわる法令などを特定したり更新したりする場合に、その業務を実際に行う人、そしてその内容を承認する人がだれかなどはすでに社内規程として定められています。ですから規程や業務マニュアルさえ確認できれば「この業務はだれに承認を求めればいいの？」などといちいち迷うことはないはずです。

だれを承認者にするかという点が問題となるのは、プライバシーマーク（Pマーク）取得の取り組みを始めた段階です。これから手順を決めていくという段階ではプライバシーマーク（Pマーク）運用の各活動の承認者をだれにするかを検討しなければなりません。

プライバシーマーク（Pマーク）の規格であるJIS Q 15001には社内のだれを承認者とするかという点で何らかの指針があるのでしょうか？

承認者は常に社長とか個人情報保護管理者でなければならないの？

JIS Q 15001の中には直接「承認者」に言及している箇所はないのですが、当規格書のガイドラインにはいくつか言及されている箇所があります。

その部分を一つ一つ見ていくと、概して「代表者による承認」または「管理者による承認」が必要であると書かれていることに気づきます。「代表者」とは社長など会社を代表する人のことで、「管理者」とは個人情報保護管理者すなわちプライバシーマーク（Pマーク）の運用を統率する人のことです。

会社の規模によって異なります

小規模の会社であればプライバシーマーク（Pマーク）にかかわるすべての承認を社長か個人情報保護管理者が行うということにしても大きな支障は生じないかもしれません。

ところが大規模の会社になるとそうはいきません。比較的細かな内容の申請であっても、あるいは自部門にしか関係のない申請であっても逐一代表者や管理者の承認を得なければならないとすれば、業務の進行に支障が出るおそれもありますし、そもそもそのような体制は業務分掌の観点でもあまり理想的とはいえません。

ここで理解しておくべきなのは、プライバシーマーク（Pマーク）の規格ガイドラインで「代表者による承認」または「管理者による承認」が必要と書いてあるとしても、実際の運用上で承認者にだれを指名するかはあくまでコーポレートガバナンスの問題であるという点です。

つまり「代表者による承認」というのを必ずしも代表者が自ら行わなければならないというわけではないということです。代表者がその承認権限を別の人に正式に委任しているのであれば、その人が承認を行って何ら差し支えないのです。「管理者による承認」についても同じです。

たとえばですが、特定の部門だけにかかわる部分的な承認であれば部長など部門責任者が下してよいと定めるプライバシーマーク（Pマーク）取得会社があるかもしれません。決裁権限が付与されている根拠さえ提示できるのであればそれはそれでよいのであって、更新審査などで不適合と指摘されることもありません。

まとめ

もちろん実質的な経営判断が求められるような承認は必然的に代表者が行うことになるでしょう。結局のところ案件の内容や程度によって承認者を決めるのがよいということです。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】