個人情報保護マネジメントシステムを確実に実施するために必要な「計画書」の作成・維持に関する要求事項として「3.3.6 計画書」があります。
規格で要求する「計画書」の対象になるのは?
「3.3.6 計画書」は、個人情報保護マネジメントシステムを確実に実施するために必要な計画書の作成及び管理について要求しています。
規格で要求している「計画書」の対象は「個人情報保護マネジメントシステムを遵守させるための教育」及び「個人情報保護マネジメントシステムを遵守しているか否かを確認するための監査」としています。
しかし、規格の条文では「必要な教育、監査などの~」としていることから、事業者において「個人情報保護マネジメントシステムを確実に実施するために必要である」と判断した場合はその他の管理項目についても「計画書」を作成するべきでしょう。
教育に関する計画を立てる
「JIS Q 15001:2006 解説」によると、教育計画書に含むべき要件は「研修の名称」「開催日時」「場所」「講師」「受講対象者」「予定参加者数」「研修の概要」「使用テキスト」「任意参加か否かの別」を含めることとしています。
すなわちこれは「計画された教育が個人情報保護マネジメントシステムを遵守させるために適切か?」また「受講の対象者は適切か?」などの視点に基づいて事前に計画を立てることが重要なポイントであると考えられるということです。
あわせて予算的な側面も教育計画の要素として考慮することが望ましいといえます。
これは外部研修への参加や外部講師の依頼などによりコストが発生するケースも考えられるからです。
監査に関する計画を立てる
「JIS Q 15001:2006 解説」によると監査計画書に含むべき要件は「当該年度に実施する(個人情報に関する)監査テーマ」「監査対象」「目的」「範囲」「手続き」「スケジュール」を含めることを要求しています。
なお監査計画策定手順については、監査責任者が毎年定められた時期に「監査計画書」を作成し、事業者の代表者の承認を得るというのが一般的です。
また「内部監査院と被監査部門との独立性の確保」や「被監査部門の活動の重要性や状況」などについても、監査計画立案時には考慮する必要があります。