fbpx

情報セキュリティにまつわる
お役立ち情報を発信

Pマーク審査では継続的改善をどう確認するの?

 

プライバシーマーク(Pマーク)運用のようなマネジメントシステムの大きな特徴の一つは“取り組みの継続的改善”です。

 

継続的改善とは重要な課題

「継続的改善」とは、PDCAサイクルを回しながらマネジメントシステムを改善し、徐々に取り組みのレベルを高めていくことです。確かに何年たっても何十年たっても同じようなレベルの個人情報保護を行っているようでは成長がありません。継続的改善はすべてのプライバシーマーク(Pマーク)取得会社の重要な課題といえるでしょう。

とはいえ継続的改善というのが時に漠然とした概念に過ぎないものとしてとらえられる場合もあります。継続的改善を具体的な活動として実施するのは必ずしも簡単なことではないのです。

これはプライバシーマーク(Pマーク)の更新審査などの場合にも関係することで、継続的改善を実施しているかどうかという点は意外と監査においても適正に評価されにくい場合があるのです。確かに「個人情報書類を施錠管理しているか?」とか「委託先と機密保持契約を締結しているか?」などの具体的な対策は審査でもチェックしやすい項目ですが、「継続的改善を行っているか?」という点は簡単な確認で済ませられるようなものではありません。

では実際の更新審査などでは継続的改善の状況がどんな方法で確認されるのでしょうか。

 

トップマネジメントに説明してもらう

トップマネジメントとは会社の代表者のことです。プライバシーマーク(Pマーク)の取り組みに対する責任を負うのは会社の代表者ですから、まずは代表者が継続的改善に対する認識を持っているかどうかが実際に継続的改善がなされているかどうかの判断材料となります。

そこで一般的なプライバシーマーク(Pマーク)の更新審査などではトップマネジメントへのインタビューが行われ、個人情報保護マネジメントシステムの継続的改善の状況や今後も定期的にPDCAに基づく継続的改善を実施することについての確認が行われます。

 

個人情報保護マネジメントシステムの改善履歴を確認する

継続的改善がなされているかを確認するうえで欠かせないのは、これまで実施した継続的改善を記録したエビデンスです。

たとえば代表者による見直しの記録があります。プライバシーマーク(Pマーク)取得会社は必ず毎年(あるいはそれ以上の頻度で)代表者による見直しを実施しますが、この活動はまさに継続的改善を目的とした活動といえます。

また是正処置の記録も継続的改善のエビデンスとなります。プライバシーマーク(Pマーク)取得会社は是正処置を行うたびにその活動の内容・結果とそれがどのような効果を及ぼしたかを記録しておく必要があります。

他にも内部規定の改廃状況があります。マネジメントシステムが継続的改善によってレベルアップすると、当然マニュアルや手順書類も見直されるはずです。そのような改廃状況を残しておくことは文書管理の一環として必要なことです。

 

まとめ

継続的改善は個人情報保護マネジメントシステムの取り組みの中で最も重要な活動であるといっても過言ではありません。プライバシーマーク(Pマーク)の取得審査や更新審査でも重要な着眼点となります。

 
・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る