記録が大事な3つの理由【Ｐマーク取得の基礎知識】

はじめてプライバシーマーク（Pマーク）取得に取り組む企業の担当者様の中には、作成すべき記録の多さに圧倒される方もいらっしゃいます。

プライバシーマーク（Pマーク）の審査基準には、個人情報保護の一環として必要とされる記録をちゃんと作成し、活用し、保管しているかという点があります。ここでいう記録には一例として次のようなものがあります。

個人情報に関するリスク分析を行ったことの記録
個人情報の利用目的を特定したことの記録
社員にセキュリティ教育を行ったことの記録
お客様からの苦情に対応したことの記録

これらに共通して言えるのは、必要なことを“行う”だけでは足りず、行ったことを“記録に残す”ことまで必要ということです。

どうしてわざわざ記録するという手間をかけなければならないのでしょうか？ 記録が大事と言える理由を3つにまとめてみました。

証拠として残すため

たとえばお客様からの苦情に対応して個人情報の取り扱い方法を見直したとします。対応方法として計画した内容自体は問題なく、またその対応も確実に実施されたとします。

しかし「ちゃんと実施した証拠を出してください」と言われたとき、記録がなければはたして他に証拠を出すことができるでしょうか。証拠としての記録の提出はもちろんプライバシーマーク（Pマーク）の審査の際にも求められますが、その他にも、会社に何かセキュリティ面で重大な問題が発生して民事訴訟や行政上の監査に発展した場合などに必要となることがあります。一枚の証拠資料によって会社の命運が左右されることもあります。記録の重みを侮ってはなりません。

会社の現状を分析するため

記録は作成するだけでなく、その情報を蓄積して改善のためのヒントとしていかなければなりません。

記録が増えるほど自社の個人情報保護の取り組みにおける傾向が浮き彫りになっていきます。「この部分はよくできているけど、この部分は改善していかないといけない」といったことも、十分な量の記録を入念に検証した結果はじめて明らかになることです。

記録はその一つ一つが会社の現状を明らかにしてくれる貴重な資料となるのです。

行うべきことを確実に把握できるようにするため

記録には行うべきこと自体が記載されることもあります。たとえばリスク分析を行った記録にはリスクに対応する手順も記載されます。もし記録がなければその手順も記載されず、記憶に頼って対応策を実施しなければならないことになります。

まとめ

このようなことを避けるためにも、記録を必ず取り、実施すべき事項も欠かさずに記載する必要があるのです。

プライバシーマークにおいて記録が必要とされるのにはそれなりのわけがあります。記録の作成を不要な作業と見なすのではなく、会社の発展と個人情報保護の推進に寄与する大切な取り組みであると考えるようにしましょう。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】