自社の個人情報保護マネジメントシステムが常に最良の状態であることを維持するために、事業者のトップが行う体系的な仕組みを見直すためのプロセスが「3.9 事業者の代表者による見直し」です。
トップが定期的に見直す
「3.9 事業者の代表者による見直し」では、以下の内容を要求しています。
- 事業者の代表者は、個人情報の適切な保護を維持するために、定期的に個人情報保護マネジメントシステムを見直すこと
- 事業者の代表者による見直しにおいては、「内部監査及び個人情報保護マネジメントシステムの運用状況に関する報告」、「苦情を含む外部からの意見」、「前回までの見直しの結果に対するフォローアップ」、「個人情報の取扱いに関する法令、国の定める指針及びその他の規範の改正状況」、「社会情勢の変化、一般の認識の変化、技術の進歩などの諸環境の変化」及び「改善のための提案」を考慮すること
見直しするためのインプット情報は?
マネジメントシステムにおけるPDCAの最後である「ACT(見直し)」にあたるのが「3.9 事業者の代表者による見直し」であり、「事業者の代表者による体系的な個人情報保護マネジメントシステムの見直し」を要求しています。
本規格では、「監査及び運用状況に関する報告」、「苦情を含む外部からの意見」、「前回までの見直しの結果に対するフォローアップ状況」、「個人情報の取扱いに関する法令、国の定める指針及びその他の規範の改正状況」、「社会情勢の変化などの諸環境の変化」及び「改善のための提案」を見直しするためのインプット情報として要求しています。
- 監査及び運用状況に関する報告
個人情報保護マネジメントシステムの運用状況に関して問題があった場合、あるいは監査の結果、その問題点を是正するために、あるいは予防するためにさらなる経営資源(人、もの、金、その他)の投下が必要となる場合があるため、インプット情報とします。
- 苦情を含む外部からの意見
顧客あるいは取引先から寄せられる相談、苦情、要望には自社の個人情報保護マネジメントシステムの潜在的な問題点が潜んでいることが考えられ、とるべき予防処置、是正処置のヒントがそこには隠れていることが考えられます。
- 前回までの見直しの結果に対するフォローアップ状況
前回までの事業者の代表者による見直しにおいて、その後何らかの対応の指示が出ているかもしれません。その指示通りに対応がなされたのか、そして計画通りの効果が出ているのかをフォローアップする必要があります。
- 法令、国の定める指針及びその他の規範の改正状況
自社に関係する規範が変更になった場合や、個人情報保護に関する法律などが変更になった場合、自社の個人情報保護マネジメントシステムを改正する必要があるかもしれません。
そのため、「3.3.2 法令、国が定める指針及びその他の規範」に合わせて、自社が遵守すべき法令などの改正状況を常に把握する必要があります。
- 社会情勢の変化などの諸環境の変化
一般の認識の変化によるものの例、たとえば個人情報に関する法律が施行される以前には「名刺」も個人情報として取り扱うべきというような議論もありましたが、一般的に「3.4.3.2 安全管理措置」の対象にはしませんでした。
また、現在では防犯上、街頭に監視カメラが設置されていることが珍しくなくなっており、そこで録画される人々のプライバシーをどうするのかという議論を行う必要があるかもしれません。
このほか重要なインプットとして考えられるものには、市場のセキュリティ事件や事故などもあります。
このように、自社の個人情報保護マネジメントシステムに影響を及ぼすであろう、社会情勢の変化、一般の認識の変化、技術の進歩などの諸環境の変化を常に把握し、インプット情報として取り扱う必要があります。
以上のように、事業者として明確に定義することが必要なのは、組織にとって「個人情報保護マネジメントシステムに影響を与える変化とは何か?」また「その変化を確実に知るための情報源は何か?」ということになります。
- 改善のための提案
個人情報保護マネジメントシステムを運用する情業者のみならず、社外からの相談・苦情からも有益な改善提案などがあるかもしれません。
この提案についてもその是非を検討する必要があります。
見直しのためのアウトプット
見直しのアウトプットについて、JIS Q 15001:2006では具体的に規定していません。
したがって、アウトプットに対する手順を確立する際には、他のマネジメントシステム規格を参考にすることをお勧めします。
なお、他のマネジメントシステム規格で規定されている見直しのアウトプットは以下のとおりです。
- 必要な役割を担う要員の追加の必要性に関する決定及び処置
- 必要な役割を担う要員の変更の必要性に関する決定及び処置
- 必要な役割を担う要員への追加の教育の必要性に関する決定及び処置
- 個人情報保護に必要な設備の追加の必要性に関する決定及び処置
- 個人情報保護に必要な設備の変更の必要性に関する決定及び処置
- 個人情報保護に必要な手順の追加の必要性に関する決定及び処置
- 個人情報保護に必要な手順の変更の必要性に関する決定及び処置
- リスクアセスメント手法の改善の必要性に関する決定及び処置
- セキュリティ管理策の有効性を測定する方法の改善に関する決定及び処置