第137回 年1回の監査じゃ、足りません。
中村「部長!これからは、年1回だけじゃダメなんですよ。日常の運用点検もしなくちゃいけないんです。」
部長「はぁ~日常点検?うちの部署は営業だ。工場じゃないんだぞ。」
旧JIS(JISQ15001:1999)では、最低年1回の監査が義務づけられていました。平たく言えば、1年に1回だけ監査して個人情報の取り扱い状況を見直せば、それ以外の時は特にやらなくてもいいよ、ということ。
ところが!新JISでは、「点検」が追加になりました。
この点検という言葉は、新JIS(JISQ15001:2006)になって登場した言葉で、このような意味です。
点検 = 最低年1回の監査 + 日常的な運用の確認
旧JISで義務づけられていた、最低年1回の監査に加え、日常業務において、運用の確認を行う必要があるということ。
ところで。あなたも気になる、「監査」と「日常的な運用の確認」の違いは・・・
■監査と運用の確認は、なにが違う?
監査は、監査をされる部門(被監査部門)が、その部門【以外】に所属する監査員に、客観的立場で監査を受けること。
被監査部門の部署のメンバー以外の人間があなたの部署に入ってきて、いろいろチェックするわけです。そこで、出来ていない事実を突きつけられたり、その後、何かと提出物を作らされたりするわけです。
それに対して運用の確認は、各部門、各階層の【当事者】が、自分たちで日常的に運用状況を確認すること。
運用しづらい点に気づいたり、「ひやり!ハっ!」としたり、ちょっとした問題を起こしてしまったりするのは、実際に業務をしている時でありその当事者です。
問題点を改善するのに、監査で指摘されるのを待つ必要はありません。
各部門・各階層の管理者が、日常的に個人情報の取り扱いに問題がないかを確認する。現場で起こっている問題や、これから起こりそうな問題を、随時改善していくことが、求められているわけです。
■現場の視点で、個人情報保護マネジメントシステム(PMS)を改善しよう
個人情報保護は、ともすると利益と相反するもの、業務の効率的な実施を妨げるものと考えられがちです。
しかしそれは、現場を知らないスタッフが作った仕組みが押し付けられているため、という場合がよくあります。
「営業は忙しいんだ。個人情報保護は、総務とかの仕事だろう。」
「細かいチェックばかりうるさいなぁ。ちょっとくらい、見逃してくれよ~。」
「まったく、面倒なことばかり押し付けやがって・・・。」
今までは、個人情報保護を一方的にやらされていると感じる人もいるでしょうし、仕方がないと思って真面目にやってきた人もいるでしょう。
思いっきりポジティブにとらえると、点検の追加は、現場の視点を活用できるということ。ですから、営業など現場で働く人がやりやすいように改善できるチャンスでもあるのです。
一方、大型の個人情報漏洩問題も発生しています。プライバシーマークの取り消しはありませんでしたが、個人情報保護の仕組みをより安全に、しかも運用しやすくレベルアップするチャレンジは続きますね。
