Top / PMSシステム構築ステップ2
HTML convert time: 0.031 sec.

PMSシステム構築ステップ2

Last-modified: 2019-09-01 (日) 13:11:22

PMSシステム構築ステップ2

なお、ステップ1~7の詳細はこちらへ→PMSシステム構築ステップ

ステップ8:必要な資源を確保する

PMS委員会は、ステップ7の実施により、 PMS構築のために必要な経営資源(ヒト、モノ、 カネ、情報)が判断できる。それに基づき、各部門及び階層における個人情報を保護するための体制の整備を計画し、社長に提出する。なお、資源を確保する段階で、計画の見直しが発生し、それがリスク対策にフィードバックされることもあり得る。社長は、体制の整備計画に基づき、経営資源を配分し任命する。同時に、運用の開始時期を定め全従業者に周知する。

ステップ9: PMSの内部規程を策定する

ここではステップ8までの経過に基づき、実施すると決めたことを内部規程としてまとめる。 PMSは自社のマネジメントシステムであり、事業者の業種や規模や既存の他のシステムとの整合性があって実効性のある、身の丈に合ったものでなければならない。したがって、内部規程には定められた構成(雛型)は存在しない。内部規程ができてからそれに実体をあわせるのではなく、実体ができてからそれを内部規程化するのが順序である。内部規程は事業者にとって最も運用しやすい構成で作成すると良い。
PMSの実施にあたり、最低限、JIS規格の求める規定が必要である。全ての従業者が内部規程を順守して個人情報の保護を実現するためには、具体的な手順、手段等が詳細に規定されていなければならない。

  1. 個人情報を特定する手順に関する規定
  2. 法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
  3. 個人情報に関するリスクの認識、分析及び対策の手順に関する規定
  4. 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
  5. 緊急事態(個人情報が漏えい、滅失又はき損をした場合)への準備及び対応に関する規定
  6. 個人情報の取得、利用及び提供に関する規定
  7. 個人情報の適正管理に関する規定
  8. 本人からの開示等の求めへの対応に関する規定
  9. 教育に関する規定
  10. 個人情報保護マネジメントシステム文書の管理に関する規定
  11. 苦情及び相談への対応に関する規定
  12. 点検に関する規定
  13. 是正処置及び予防処置に関する規定
  14. 代表者による見直しに関する規定
  15. 内部規程の違反に関する罰則の規定

担当部署に依存する詳細な部分は、当該担当部署に協力要請して規定させることがPMSの実効性を高めるためには望ましい。
その際には、事前に担当部署に対して個人情報保護方針、基本規定を十分に説明し理解させておくことが必須である。
当該部署により規定された部分については、 PMS委員会が個人情報保護方針、基本規程との整合性を十分に確認し、不整合がある場合は担当部門の間で協議して改善していかなければならない。なお、担当部署を巻き込んだ詳細規程の作成方法を採ることによって、PMS策定の過程において、関係部門に個人情報保護方針、基本規程を周知することができるという効果も期待できる。
なお、詳細規程については、既存の規程(例えば、罰則を規定した就業規則等)を参照して適用することも可能である。また、上記以外にも当該事業者の実情に応じて必要な事項を規定することが望ましい。事業者が所属する業界団体等が定めた個人情報保護に関するガイドライン、及び事業を規定した業法等も参考にすることが必要である。
先にも述べたとおり、業法等の法令がある場合はJISに優先するため、規程に反映しておくことが求められる。
内部規程がJISの要求事項に反しないように適合性を持たせて運用する。その後の運用でも規定が適合性を保つように維持していかなければならない。

ステップ10: PMSを周知するための教育を実施する

教育に関する規定に定めた手順に従い、研修担当者が教育を実施する。研修担当者は、研修計画に基づき、PMS委員会の協力を得て研修を実施する。研修後は研修効果の確認を行うと共に研修記録を残し、次回以降の研修に反映する資料とする必要がある。

ステップ11: PMSの運用を開始する

これまでのPMSシステム構築段階を経て、初めてPMSの運用が可能になる。

ステップ12: PMSの運用状況を点検し改善する

内部監査の責任者は、 PMS運用開始後一定期間を経過した時点で、個人情報保護の状況について点検し評価する。ここでの内部監査は、 PMS運用開始後に効果的な運用ができる体制及び PMSとなっているかについて確認するために実施する。監査責任者は、評価の結果を監査報告書に取りまとめ、社長に報告する。

PMS委員会は、内部監査の結果を受けて代表者から出された見直し指示に従い、 PMSの改善を実施する。必要な改善措置の後、PMS文書に改善内容を反映し、また、改善の内容、改善日を改善履歴として記録する必要がある。

ステップ13: PMSの見直しを行う

経営者はマネジメントレビューを定められた手順に従い実施する。現状のPMSで適切であるかを検討し、必要に応じて改善を実施する。

以上がシステム構築・運用の13のステップである。プライバシーマークの認定申請においては、申請時にこのステップ13まで実施していることが必要である。