「要求事項の理解及び実現」これが、Pマークの取得作業のうち、もっとも重要な作業だといえるでしょう。
規格が何を要求しているのかを確実に理解し、どのように実現していくかを明確にすること、これが成功のポイントです。
要求事項実現の本質とは
すべての要求事項では、「What(何を)」は要求していますが「How(どのように)」は規定されていません。
したがって「要求事項を実現すること」とは、個人情報保護マネジメントシステムを構築する事業者が「自社の考え方や特性」を考慮して、誰が、どのように実施するかを取り決める事を指します。
例えば「3,4,5 教育」を例にあげて詳しく説明すると、要求事項には「事業者は、従業者に定期的に適切な教育を行わなければならない」としかありません。
「どのように教育させるのか?」については、要求していないのです。
したがって「誰が?(車内で誰がやるのか?)」、「どうやって?(どのような手段を用いるのか?)」については、事業者の特性(組織構造や責任権限など)や取り扱う個人情報の特性に応じて取り決めなければならないのです。
「だれが」実施するかを明確にする
また、ほとんどの要求事項は「事業者は〜しなさい(または、してはならない)」という言い方をしています。
したがって、各要求事項の実現の際は、事業者(組織)の中で「だれがその要求内容を実現するのか?」について決めなければなりません。
その実現の際には、当然ながら、組織の中での役割、責任、権限の付与も含めた実施担当者(または実施責任者)の明確化(任命)が必要不可欠です。
なお、この規格の主語ですが「事業者は〜」以外の規定方法をしている要求事項は「3.2 個人情報保護方針」、「3.3.4 資源、役割、責任及び権限」、「3.7.2 監査」及び「3.9 事業者の代表者による見直し」となっています。
つまり「3.2」「3.3.4」及び「3.9」では事業者のトップに対する要求事項なので「事業者の代表者は〜」で始まる要求事項となっており、その中でも「個人情報保護監査責任者は〜」で始まる「3.3.4」は監査の責任者に対する要求事項となっているのです。
また「3.7.2 監査」の要求事項を厳密に解釈すると、個人情報お保護監査責任者の任命は事業者おトップに対する要求事項であり「監査の指揮」「報告書の作成」及び「事業者の代表者への報告」に関しては「個人情報保護監査責任者は〜」となっていることから「個人情報保護監査責任者」が自ら行うのか?それとも他の者が任命されたうえで行うのかを明確にして、手順を確立する必要があるのです。