コンプライアンス・プログラムの運用と内部監査：Pマーク取得への道（5）（1/3 ページ）

[直江とよみ，NECソフト株式会社]

　第4回「コンプライアンス・プログラムを作る」では、プライバシーマーク（Pマーク）取得の際、審査の重要なポイントとなる規程類の策定と、従業員に対する教育について解説しました。

　今回は、「コンプライアンス・プログラムの運用」と「内部監査」について解説していきます。

【注】
2006年5月20日に、「JIS Q 15001：2006」が制定されましたが、本連載は、「JIS Q 15001：1999」版を対象にしております。JIS Q 15001:1999でのプライバシーマークの申請は、新JIS Q 15001の制定から6カ月間受け付けています。詳細はJIPDECのホームページにてご確認ください。
http://privacymark.jp/index.html

図1　プライバシーマーク取得までのスケジュール

コンプライアンス・プログラムの運用

　「JIS Q 15001 個人情報保護に関するコンプライアンス・プログラムの要求事項」では、コンプライアンス・プログラムの運用に関して以下のように記述されています。

【JIS Q 15001】

4.4.1　体制及び責任

コンプライアンス・プログラムを効果的に実施するために役割、責任及び権限を定め、文書化し、かつ、個人情報に関連のある業務にかかわる役員及び従業員に周知しなければならない。

事業者の代表者は、コンプライアンス・プログラムの実施及び管理に不可欠な資源を用意しなければならない。

事業者の代表者は、この規格の内容を理解し実践する能力のある管理者を事業者の内部から指名し、コンプライアンス・プログラムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わせなければならない。

　企業の個人情報保護体制を構築することも含め、事業者の代表者は、策定した規程類にのっとった個人情報保護活動を行わなくてはなりません。前回の「コンプライアンス・プログラムを作る」でも解説しましたが、個人情報を保護するための活動というのは、以下のような仕組みを作ることにあります。

1. 個人情報保護方針を策定し、文書化し、公表する
2. 個人情報保護体制を構築する
3. 個人情報保護のための各種計画を立てる（教育・監査などを含む計画策定）
4. 個人情報保護活動を実施する
5. 内部監査を行う
6. 是正処置・見直しを行う

　これらの活動は、組織的に行われることが求められます。JIS Q 15001では、「4.4 実施及び運用」の中で、個人情報保護活動が具体的に何をすることなのかを定義しています。

日々のチェックの重要性

　日々の業務の中で、JIS Q 15001の要求事項（＝規程などに定められたルール）が正しく運用されていなければなりません。それらの運用がちゃんとできているか、をチェックするのが「内部監査」です。しかし、内部監査のときだけ現場のチェックをすればよいのでしょうか。

　個人情報保護活動は、日常的に個人情報が正しく扱われ、安全に管理されることが重要です。そこで、日々の業務手順の中に、点検する手順を加えていくことで、より個人情報が守られる職場づくりが可能となります。

　管理者の役目は非常に重要です。各部門の管理者は、自部門の個人情報保護活動が日々正しく行われているかをチェックし、場合によってはルール自体を改善することで、「守ることができるルール作り」を推進しましょう。

日常的なチェックの例

• 定例会議で個人情報保護活動の状況報告を行う
• 苦情や問い合わせ状況などを定期的に確認する