第138回 運用の確認のポイントは、気づいた点の記録。
部長「気づかないモンは、しょうがないだろう。まぁ、それだけ仕組みが良く出来てるってことだ。よかったな。」
中村「でも部長。運用の確認の記録がないんですよ。マズイですよね。」
部長「そんなもん、気づいたことがないんだから、しょうがないだろー。」
新JIS(JISQ15001:2006)で追加になった「点検」。でも、気づいた点がないからといって記録を残さないでOKなんでしょうか?
運用の確認を実施するために、2つポイントがあります。
まず、最初のポイントは・・・
■定期的に、確認する
運用の確認についてJISQ15001:2006の解説には、
「日常業務において、気づいた点があればそれを是正及び予防していくもの」
と書かれています。
また、「JISQ15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン」には、
「ルールどおりに実施されているか見回って確認するといったことでも良い。」
と書かれています。
これだけ読むと、
「ふーん。じゃ、普段の業務で見回ってるときに、気づいた点があれば是正か予防すればいいわけね。」 そう思うかもしれませんね。
ちょっと待ってください!
JISQ15001:2006の本文には、
「定期的に確認されるための手順を確立し、実施し、かつ、維持しなければならない。」
と書いてあります。
「普段の業務で見回っているとき」
「気づいた点があれば」
これだけで、運用が定期的に確認されるための手順を確立したことになるのか?
もちろん、普段の業務中に見回ることは、悪いことではありません。しかし、「気づいた点があったのか、なかったのか」を確認することが大切です。
運用の確認を、日常業務の中に埋没させないように、毎週金曜日、毎月月末など、定期的に「気づいた点」を確認する仕組みを作りましょう。
では、2つめのポイントは・・・
■記録を残す
JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドラインには、 「確認した記録を残すかどうかは、事業者が必要に応じて判断すればよい。」
と書かれています。
しかし、記録は残すべきです。
なぜか?
気づいた点があった時は、是正・予防をしなければなりませんから、記録を残します。
では、気づいた点がなかったら?
気づいた点がないまま、1年間が過ぎてしまったら・・・?
運用の確認をしたかどうか、証拠が残りません。
証拠がなければ、運用の確認をしていないのと区別がつきません。
ですから、プライバシーマークの更新審査で指摘を受けるリスクを減らす意味でも、気づいた点がなくても「運用の確認をした結果、気づいた点がなかった」ことを記録に残しましょう。
「個人情報保護のためだけに、まどろっこしいことをしてられるかい!」と思った方は・・・
■無理なく、確認する
「ただでさえ忙しいのに、新JISになってさらに新しいことを要求されている。ひえー、大変だ。」
そう思う人もいらっしゃるでしょう。
そうならないために、できるだけ無理がない方法を考えること。
日常業務での運用の確認をするのですから、普段の業務に運用の確認をつけ加えてしまうことで、現場の負担が軽くなります。
たとえば、あなたは毎日業務日誌をつけているとしましょう。
その業務日誌に、個人情報の運用の確認で気づいた点を書く欄を設けます。
次に、毎週金曜日に部内のミーティングがあるなら、そのときに運用の確認状況について報告するのです。
個人情報保護マネジメントシステム(PMS)の運用も、その運用の確認も、業務に支障が出ないように知恵を出しましょう。
