西山

Pマークにかかわる承認手順は柔軟に考えて!


 

プライバシーマーク(Pマーク)の運用においては様々な局面で責任者の承認を得なければならない場面が発生します。

実のところこれまでの業務に比べて格段と承認手順が増えて負担を感じるプライバシーマーク(Pマーク)取得会社の担当者様もいらっしゃいます。

プライバシーマーク(Pマーク)の取得や更新のために真面目に手順の運用に取り組むのは良いことですが、承認手順などについては柔軟に考え、業務がスムーズに進むように工夫することも大事です。以下のような点を取り入れて承認手順の負担を減らしてみるのも良いかもしれません。

 

必ず代表者が承認しなければならないわけではない

プライバシーマーク(Pマーク)の規格のガイドラインを見ると、あたかも承認がかかわるすべての場面において代表者または管理者(ここでいう「管理者」とは個人情報保護管理者)の承認が必要とされているかのように思えるかもしれません。

しかし実際はそうではありません。会社によっては決裁権限が内容などによって適切な責任者に委任されるのが通常ですが、それと同様の考え方でプライバシーマーク(Pマーク)運用にかかわる承認者も内容によって代表者または管理者以外の人に委任できるのです。

承認の機会が多さや内容の軽重に応じてたとえば「この内容については各部門の部門長に承認を得る手順にする」とか「これは代表者ではなく管理者を承認者にする」などと手順を自社で決めることもできます。

 

包括的な承認でよい場合も多い

たとえば個人情報の利用目的を特定する際、プライバシーマーク(Pマーク)取得会社は管理者の承認を得るよう手順を整備しなければなりません。

とはいえこれは一個一個の個人情報ごとに、つまり個人情報の本人ごとに利用目的を特定した内容を管理者に提示して承認を得なければならないというわけではありません。

管理対象として一つのカテゴリにまとめられる個人情報群の場合は一つにまとめて包括的に承認を得るので十分です。

 

一括で承認を得るのが便宜な場合もある

プライバシーマーク(Pマーク)において管理者の承認が必要な手順は複数あります。

例を挙げると、個人情報を特定したことについて、個人情報の利用目的を特定したことについて、個人情報を取得することについて、また本人にアクセスすることについて、などがあります。

これらはその局面ごとに改めて承認を得る必要があるということなのでしょうか。必ずしもその必要はありません。

たとえば個人情報を特定する段階でその後に控えている承認が必要なイベントがわかっているのであれば、それらすべてをまとめて管理者に提示し、あらかじめ一括して承認を得ておくのが便宜でしょう。そのようにして承認プロセスを簡素化することは決してプライバシーマーク(Pマーク)の原則に反しません。

 

まとめ

以上のようにプライバシーマーク(Pマーク)にかかわる承認手順は工夫を加えることでかなり運用しやすいものとなります。

もちろんそのような方法にした場合は、社内規定の中で手順を明確に定めておくことが重要ですし、プライバシーマーク(Pマーク)の取得審査や更新審査においても手順を一通り説明できるようにしておくことが必要となります。

★こちらの記事もおすすめです!
【シャレにならない新ルール(EUの個人情報保護)【GDPRでISMS取得も有効な対策】】

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山