1.Pマーク構築・運用指針改定セミナーを開催しました
2024年初投稿ですね。今年もバルクならびにこの「バルクコンサルが斬る」シリーズのコラムを宜しくお願いいたします。
1月22日に「Pマーク構築・運用指針改定セミナー」を開催いたしました。昨年12月25日にJIPDECさんから公表された「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針【JIS Q 15001:2023準拠 ver1.0】」(以下、「改定指針」)について、1月~3月に3回に分けて解説するセミナーの第1回目でした。今回は改定指針やJISQ15001:2023についての全体像をお話しました。
改定指針の大きなポイントは、PMSのうちMS(マネジメントシステム)部分の要求事項化による文書改訂への影響です。既に現行の指針において改正法対応は盛り込まれておりましたので、次回の更新審査実務でどのように改定内容が反映されるのか不透明な面があります。詳しくは、2月~3月にかけてJIPDECさんの公表する動画配信等を待つ必要があります。
2.個人情報保護規程の基本構成
現在運用している個人情報保護規程は、各箇条の要求事項について、下記がオーソドックスな作り方です。
① やるべきことを明記する
② 具体的な運用手順を明記する
③ 関連する記録様式を備える
①のやるべきことについては、改定指針の要求事項をほぼそのまま明記すれば整います。多少、文末の文言を社内規程っぽくアレンジするくらいは必要です。また改定指針の「留意事項」についても、記載すべきと思われる内容は明記する必要があるでしょう。
②はマネジメントシステムとして運用できるために具体的な手順やマニュアルめいた内容を記載します。その際、運用する人と承認する人などの職務分掌や承認手順も明記します。
③は運用記録として保管しておくべきものの様式を記載したり、記録方法・保管方法などを明記したりします。
改定指針に対応するために現行の個人情報保護規程をどの程度追記・修正すればよいのでしょうか。これまでMS部分はトップインタビューのヒアリング項目ということで、審査されてきませんでした。ただ、従来から審査されていたMS部分をJISQ15001:2023で明確な要求事項として整理されましたので、文書改訂のポイントは、以下の二点に分かれます。
① PMSのMS部分は従来通りの審査対応でよいはず
下記など従来から運用している部分です。
・法令等の規範
・個人情報の特定
・リスクアセスメント、リスク対応
・委託先の監督
・定期教育
・自主点検
・内部監査
・マネジメントレビュー(リーダーシップとセットで審査?)
・是正処置
② ISOの共通文書固有のMS部分はどこまで対応すればよいのか
下記のあたりをどこまで審査されるのかが焦点です。
・組織の状況の理解⇒リスク及び機会に対処する活動⇒情報セキュリティ目的
・適用範囲の決定
・資源、力量と認識
今回のセミナーでは、情報セキュリティ目的や力量について、例示的に解説いたしました。次回は、上記②に重きを置いて解説していきます。
また、アンケートでご要望の多かった「アーカイブ配信」のご案内とご質問の多かった内容については、Q&A形式にまとめた資料をご参加いただきました皆様に、別途ご提供いたします。次回は予習用のレジュメを先出でご提供する予定です。
Pマーク構築・運用指針改定セミナー(全3回)
審査指針公表に伴い、バルクでは3回に分けてセミナーを開催します。
日程やお申し込みなどの詳細はこちら
余談ですが・・・
今回のセミナーには、私がPマークコンサルを始めた当初、いろいろと教えていただいた審査員の方が「お忍び」で? 参加されていました。「改定指針公表から、この短期間でよくまとめていた」とのお言葉を頂戴いたしました。少しはご恩返しができたかなと思います。
