個人情報保護マネジメントシステムの核となる「経営資源の配分」「体制及び責任・権限の文書化・周知」及び「管理者の任命」に関する要求事項が「3.3.4 資源、役割、責任及び権限」です。
これは事業者のトップに関する要求事項であり、そのために規格の主語が「事業者の代表者は~」となっています。
トップは何をすべきか?
個人情報保護マネジメントシステムを構築する上で必要な、事業者の代表者の要求事項として規定されている「3.3.4 資源、役割、責任及び権限」では次の要件を規定しています。
- 個人情報保護マネジメントシステムに必要な資源を用意すること
- 個人情報保護マネジメントシステムの役割、責任及び権限を文書化し、周知すること
- 事業者の内部より個人情報保護管理者を任命し、他の責任とかかわりなく行かの業務を実施させること
ー個人情報保護マネジメントシステムの実施及び運用に関する業務
ー見直し及び改善の基礎となる個人情報保護マネジメントシステムの運用状況の報告
役割及び責任・権限は?
「役割及び責任・権限」については、ここでの要求のほかにも「3.3.5 内部規程 d)事業者の各部門及び階層における個人情報を保護するための権限及び責任の規程」においては内部規程の策定に関する要求、「3.4.5 教育 d) 個人情報保護マネジメントシステムに適合するための役割及び責任」においては教育を要求しています。
また、個人情報保護マネジメントシステムの中で主要な役割を持つ「事業者の代表者」「個人情報保護管理者」及び「個人情報保護監査責任者」だけでなく「各個人情報の取扱部門(担当者)」や各要求事項の主語である「事業者は~」と規定された事項を具体的に実行する担当者の責任・権限も対象として、これらすべてについて「役割及び責任・権限」を明確にしなければいけません。
個人情報保護管理者を任命する
「個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を有するもの」と定義されるのが個人情報保護管理者で、事業者の代表者に次ぐ、実質上の個人情報保護マネジメントシステムの最高責任者となります。
なお、各個人情報や各事業部単位に背金者を設ける場合においては、各々の責任者の役割や責任・権限の明確化や「個人情報保護管理者」と「各責任者」の役割及び責任権限の範囲を明確にする必要があります。
これは、管理者の任命において「JIS Q 15001:2006 解説 3.2.4」では「個人情報保護管理者は、当該事業者に係る個人情報の管理の責任者である性格上、いたずらに指名する者を増やし、責任が不明確になることは避けなければならない」と規定してあるからです。
また「JIS Q 15001:2006 解説 3.2.4」では「個人情報保護管理者は、社外に責任のものつことができる者(例えば役員クラス)」を指名することが望ましいと規定いるため、「個人情報保護管理者」に任命される要因の適切性については充分留意する必要があります。
個人情報保護管理者の職務
個人情報保護マネジメントシステムの運用状況については、個人情報保護管理者から、事業者の代表者へ報告することになります。
この報告に基づき、3.9に規定された「事業者の代表者による見直し(まねじめんとレビュー)」が実施されることになるので、報告においては以下の内容なども含むことがのぞましいでしょう。
- 教育や訓練の実施状況
- 日常点検の結果
- 是正処置及び予防処置の状況
