プライバシーマークセミナー

個人情報保護マネジメントシステム(PMS)とは?プライバシーマークの基本概念

このエントリーをはてなブックマークに追加  

josei3

 

プライバシーマークを取得しようと初心者の方が勉強を始めたとき、
まず耳にするのがこの個人情報保護マネジメントシステム(PMS)です。

 

私ははじめにこの言葉を耳にしたときは全く意味がわからずに

 

「な・・なんか難しそう・・・。」

 

と思ったことをよく覚えています。

 

 

まず、マネジメントシステムという言葉については、
プライバシーマークの目的である個人情報保護に限らず、
あらゆる経営手法に使われています。

マネジメントシステムとは?

マネジメントシステムとは、会社や組織の行動規範(ルール)を定めて、
それに従って実施する。そして問題がないか検証(チェック)して
見直し(改善)を行う仕組みのことです。

 

よくPDCAサイクルと言われますね。

 

Plan(計画)→Do(実施)→Check(検証)→Act(見直し・改善)

 

それぞれの頭文字を並べたものになります。

 

私は英語が得意じゃないので、PDCAと英語を並べられると、

 

「ムムッ(-ω-;)ウーン」

 

となってしまいますが、笑

 

よく考えてみるとすごくシンプルです。

 

「ちゃんと考えて、やってみて、よりよくしていこう」

 

という流れですよね。

 

これって個人でも普通に意識していることなのかな、と思います。

 

ただ、組織においては、このPDCAサイクルがきちんと行われるように
ちゃんと目に見える形にルール化していきましょう、というのが
マネジメントシステム、ということみたいですね。

 

そしてこのマネジメントシステムを個人情報保護の取り組みに利用した
のが、『個人情報保護マネジメントシステム』というわけですね。
(そのままですね。笑)

 

ちなみに個人情報保護マネジメントシステムは英語でPMSと表記される
ことがありますが、これは、
Personal Information Protection Management Systems
の略です。「長っ・・」って思った方。友達になれそうです。

 

では個人情報保護マネジメントシステムとはどのようなものなのか、
具体例とともに見ていきましょう。

個人情報保護マネジメントシステム(要求事項)の内容とは?

個人情報保護マネジメントシステムの流れは以下のようになります。

 

1.法令および規範等の認識
2.個人情報の特定
3.リスクの認識
4.個人情報保護マネジメントシステムの規程(書類)化
5.個人情報保護マネジメントシステム教育(社員研修)
6.運用と点検
7.個人情報保護マネジメントシステム監査
8.是正処置・予防処置
9.代表者による見直し

 

この9つの流れを繰り返していくわけですね。
それぞれ詳しくみていきましょう。

 

1.法令および規範等の認識

 

個人情報の取扱いについては、個人情報保護法をはじめとして、
ガイドラインや所在地の市区町村ごとの条例などの法律があります。

 

まずは自社に該当する法律や条例・ガイドラインを把握することが
必要になります。

 

これは制定や改廃があるので定期的に見直しができるように手順を
つくる必要があります。

 

 

2.個人情報の特定

 

次に自社が取り扱う個人情報を特定する必要があります。

 

どのような個人情報をもっているか、まずはそこを把握しなければ
守るべきものが明確になりませんよね。

 

だから自分の会社保有・利用している個人情報をリスト化する
必要があります。

 

そして、リスト化する際にはそれぞれの個人情報をどのように取得して
どのように利用し、どのように保管して、どのように廃棄するのか、
具体的に表にしておくことが重要です。

 

 

3.リスクの認識

 

2で特定(リスト化)した個人情報をもとに、それぞれどのようなリスクが
あるのかを表にします。

 

そしてそれぞれのリスクに対して、どのような対応をするのかを決めていきます。

 

 

4.個人情報保護マネジメントシステムの規程(書類)化

 

上記の1〜3までの流れを踏まえて、社内規程を作ります。
就業規則のようなものですね。
これらの規程はよくPMS規程と呼ばれます。

 

 

5.個人情報保護マネジメントシステム教育(社員研修)

 

ここまでの1〜4の流れで"個人情報保護の枠組み"ができました。
でも枠組みができただけでは意味がありません。
実際に運用に携わっていくのは自社の従業員です。

 

仏作って魂入れず、とならないようにきちんと従業員への
教育を行う必要があります。

 

参考:プライバシーマークの社内教育は何をすればいいのか

 

 

6.運用と点検

 

実際に運用を始めます。
そして当然人間のすることなので、すべてが完璧に行われることは
ありません。

 

たとえば、「スクリーンセーバーを10分に設定しましょう」という
ような簡単なルールを設定したとしても全員がきちんと設定しているか
分かりません。

 

チェックしてみると、『あとでやろうと思って忘れてました・・』
なんてことがよくあります。

 

そういったことを防ぐために運用に対して点検をどのようにするかも
ルールの中に盛り込みます。

 

 

7.個人情報保護マネジメントシステム監査

 

監査、という言葉は商法なんかでも耳にする言葉ですね。
登記上に監査役を設けている会社もあると思います。

 

プライバシーマークにおいても個人情報の取扱いについての
監査を少なくても年に1回行う必要があります。

 

"監査は外部の人間が行わなければいけない"という印象が
ありますが、プライバシーマークについては内部監査が必要とされて
いるので、社内の人間による監査でも大丈夫です。

 

 

8.是正処置・予防処置

 

是正処置・予防処置、聞きなれない言葉ですよね。
これは点検や監査の結果、問題や課題があった場合に、
改善したり予防するための方法を具体的に定めていくことです。

 

ときにはこの是正処置・予防処置で定めたものを規程に追記していきます。

 

 

9.代表者による見直し

 

一番最後に会社の代表者による見直しを行います。
会社の代表者は、一般的には社長が多いですね。
これまでの1〜8までの流れを踏まえて、どのようなところがよかったのか、
逆にどのような問題があり、今後どのように取り組んでいくのがいいのかを
代表者が指示出しをします。

個人情報保護マネジメントシステムのまとめ

・マネジメントシステムはPDCAサイクルという徐々によくしていこう
 という取り組み(仕組み)を作ること。

 

・個人情報保護マネジメントシステムはプライバシーマークの規格の中で
 具体的になにをすればいいかを定められている。

新しいことを学ぶには"よく知っている人に直接会って聞く"のが一番です。
100以上のセミナー・研究会に参加した経験から オススメできるPマークセミナーをランキング形式で まとめました。
>>>こちら をクリックしてご確認ください。

お願い

参考になりましたら下のソーシャルボタンから共有して頂ければ嬉しいです。

このエントリーをはてなブックマークに追加  

プライバシーマークセミナーランキング



;