Pマークの運用の確認を確実にするために決めておくべきこと

プライバシーマーク（Pマーク）の取り組みにおいては、大小様々な点検によってマネジメントシステムを強化していくことが大事です。

大きな点検の機会には監査（更新審査などの外部による審査とは異なる）などがありますが、もっと日常的な点検の機会として「運用の確認」というものがプライバシーマーク（Pマーク）の規格では定められています。

運用の確認とは、各部門においてその部門に所属する者が日常的に運用状況を点検し、適正化を図る取り組みのことです。

運用の確認は適切に実施すればかなりの効果が期待できるのですが、年に一度の監査のように形式が定められているわけではないため、ともするといい加減な取り組みとなってしまいがちな側面もあります。

そのようなことにならないよう、プライバシーマーク（Pマーク）取得会社は運用の確認の実施手順として、最低でも次のような点を定めておくことができます。

確認を行う時期

いつ運用の確認を実施するかを決めておくのは重要です。“定期的に”と定めておくだけでは不十分で、「月○回」などと具体的な頻度を定めておくことが必要と言えます。

運用の確認は日常的な確認によって不適合の芽を早期に摘むことが目的ですから、その目的が達成できるようあまり期間を開けないようにすべきです。

点検項目

運用の確認でどのような点を点検するのかも定めておくようにしましょう。点検項目が定まっていないと、点検者が変わるたびに点検の内容や質が変わってしまいます。

確認した結果を記録に残すかどうかは各プライバシーマーク（Pマーク）取得会社が決めることですが、記録もかねて点検項目を記載したチェックリストを用意しておくこともできるかもしれません。

点検者

実施日と点検項目を定めたなら、次は点検者も定めておくようにしましょう。点検を担当する者は必ずしも1人である必要がありません。点検内容などによって担当者を分けるのが望ましい場合もあります。

点検記録方法

点検した結果を記録する方法も定めるようにしてください。たとえば運用確認の項目の一つに部門内で管理するサーバへのアクセスログの点検があるとします。この場合はコンピュータ側で自動的に記録されるアクセスログ自体が記録となりますから、あえて手動で別途記録を残す必要はないかもしれません。

また入退室記録なども、プライバシーマーク（Pマーク）の運用の他の要求事項ですでに記録の手順を定めている場合がありますので、そのような場合も別途記録を残す必要はないでしょう。

まとめ

以上、運用の確認を確実にするためにプライバシーマーク（Pマーク）取得会社が各部門において決めておくべきことをご紹介しました。

とはいえ運用の確認の実施を徹底しすぎて業務に支障が出るという状況は決して好ましいものではありません。場合によっては、業務に支障のない範囲で、プライバシーマーク（Pマーク）のルールが部門内で順守されているかを見回って確認する程度でも構いません。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】