fbpx

情報セキュリティにまつわる
お役立ち情報を発信

様式至上主義!?【Pマーク取得の基礎知識】

 

プライバシーマーク(Pマーク)を取得して必ずと言っていいほど増えるのは「様式」です。

Pマークの取得後の様式について

様式とは記録するためのもので、記入すべき項目や内容がすでに定められているもののことを言います。エクセルやワードなどで枠だけがすでに作成されており、あとは「氏名」、「部署」、「作成日」などとそれぞれに決められた項目の枠内に情報を記入または入力していくといったものが“様式”です。

プライバシーマーク(Pマーク)上では“記録”が要求されるのですが、その記録を確実にし、場合によっては行いやすくすることを目的として一般的に社内で記録のための様式が運用当初に作成されることが多いのです。

ところがこの様式というもの、上手に運用できれば会社の個人情報保護の向上につながるのですが、一歩間違えるとただ業務を増やすだけの無駄な作業の原因になりかねません。

よくある間違いの一つは“とにかく様式を作ってしまえばいい“というやり方です。タイトルの様式至上主義とは要するにこのやり方のことです。

様式至上主義は会社の業務全体や個人情報保護に良い影響をもたらしません。ではすでにこのような傾向に陥っている場合、どうすれば状況を改善していけるでしょうか。

 

そもそも様式が必要かどうかを判断する

もちろん一切様式を作成しないというのは現実的ではありません。たとえばお客様が個人情報の開示を請求する際、様式がなければ何をどう伝えて要求すればよいのかがわからずに困ることでしょう。必要な様式はためらわずに準備すべきです。

しかしなかには「それは別に様式を作らなくてもすでに会社で確立されている記録の方法で運用していけるのでは?」と思えるものもあります。このような場合は安易に新しい様式を導入することでかえって業務の負荷が増えます。

ほかにも記録を定型化してしまうことがかえって融通の利かない業務のもととなってしまうことがあります。たとえば監査のチェックリストなどです。チェックすべき項目や量や視点は状況によって左右されますので、毎回の監査計画に基づいてその都度記録しても問題ありません。

 

様式内の項目が必要かどうかを判断する

たとえ様式自体は必要であっても記録すべき項目が必要性の乏しいものであれば、これもまた無駄な記録作業のもととなってしまうでしょう。

特に他のプライバシーマーク(Pマーク)取得会社の様式を完全に真似して自社に取り入れたりすると、本質的に必要ない項目まで様式に盛り込んでしまうことにもつながりますので注意が必要です。

別に毎年の監査や更新審査のたびでなくても構いませんので、様式の項目は慎重に見直すようにしましょう。承認者の承認印欄などについても同様に必要性を考慮するのが良いでしょう。

まとめ

今回の記事は断じてプライバシーマーク(Pマーク)認証取得制度そのものを否定するものではありません。

むしろプライバシーマーク(Pマーク)取得が真に意図するところをつかみ、個人情報保護という大切な目標を実現させつつも不必要なしくみや労力を削減していこうという趣旨です。

皆さんの会社においてもプライバシーマーク(Pマーク)様式類が現状の必要性を満たすものとなっているか改めて精査されるのはいかがでしょうか?

こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る