第1回では、企業の「個人情報の保護に関する法律」(個人情報保護法)対策の1つの指標としての「プライバシーマーク(Pマーク)」について解説をしました。今回は、プライバシーマークの取得に向けたファーストステップとして、「計画」と「現状把握」の個人情報の調査について解説していきます。
プライバシーマーク取得に向けた「計画」の策定
プライバシーマークは、財団法人日本情報処理開発協会(JIPDEC)によって運用されている制度で、日本工業規格(JIS)が定めた「個人情報保護に関するコンプライアンス・プログラムの要求事項(JIS Q 15001)」への適合性を評価します。JIS Q 15001では、事業者が保有する個人情報を保護するための方針、組織、計画、実施、監査および見直しというマネジメントシステムを構築するための要求事項を記しています。
プライバシーマークを取得するためには、JIS Q 15001の要求事項を理解し、それに沿った活動スケジュールをたて、全社活動として運用していくことが必要です。
プライバシーマーク取得推進プロジェクトチームの発足
プライバシーマークの取得は、「事業者」単位での取得が原則【注】です。全社活動となりますので、全社レベルの指示が出せる人をプロジェクトリーダーとする必要があります。基本的にプロジェクトのトップは代表者となります。
業界によっては、事業単位での取得を一部認めているケースもあります。取得を検討する際に、事前にJIPDECまたは審査機関にお問い合わせください。
プロジェクトチームのメンバーには、全社の各部門から部門長レベルのスタッフが参加することが望ましいです。個人情報の保有状況も含め、以下の点を考慮しメンバーを決定します。
【プロジェクトメンバーに含めるべき部門】
- 個人情報を多く保有する部門
- 従業員情報を持つ総務部門、人事部門
- 個人情報保護法対応という側面から法務部門
- 全社のシステム上のセキュリティ環境という側面から情報システム部門
また、全社への作業指示などのルートを確立しておくことが、スムーズなプロジェクト推進に不可欠な要素でもあります。
コンサルタントなどを利用し、作業のほとんどを依頼する場合は、プロジェクトリーダー1名体制も考えられます。しかし、社内のスタッフが中心となる活動の場合には、3〜5名程度のプロジェクトメンバーが必要となります。
また、運用フェーズでは個人情報保護の組織体制として「個人情報保護責任者」の設置が求められます。プライバシーマーク推進プロジェクトチームの体制と、実際の運用体制は異なっていても構いませんが、プロジェクトチームに参加していれば、以降の運用がスムーズになることは言うまでもありません。
Copyright © ITmedia, Inc. All Rights Reserved.