個人情報保護マネジメントシステムの有効性を継続的に維持・改善していくための要求事項として「3.8 是正処置及び予防処置」と次の「3.9 事業者の代表者による見直し」があります。
是正処置と予防処置を実施する
「3.8 是正処置及び予防処置」では、以下の内容を要求しています。
- 不適合に対する是正処置及び予防処置を確実に実施するための責任と権限を定める手順を確立し、実施し、維持すること
- 手順には、「不適合の内容の確認」、「不適合の要因の特定、是正処置及び予防処置の立案」、「立案された適切な処置の実施」、「実施された是正処置及び予防処置の結果の記録」および「実施された是正処置及び予防処置の有効性のレビュー」を含めること
是正処置とは
「検出された不適合又はその他の検出された望ましくない状況の原因を除去するための処置。(3.6.5の定義)」とISO9000では是正処置のことを規定しており、不適合(問題など)に対する処置だけでなく、不適合の根本となる原因を取り除く処置を要求しています。すなわち、不適合の内容を確認し、その原因を特定した上で、要因を除去するための処置(再発防止策)を講じることを指します。
なお、ISOの審査では、不適合を「重大な不適合」と「軽微な不適合」など、重大性に応じて分ける審査機関が一般的です。
組織は、この不適合の重大性(自社の個人情報保護マネジメントシステムへの影響度合い)によって、その後の是正処置の優先順位や投下する経営資源を決定し、対応していくことになります。
予防処置とは
「起こり得る不適合、又はその他の起こり得る望ましくない状況の原因を除去するための処置。(3.6.4の定義)」とISO9000では予防処置について規定しており、是正処置(発生した不適合への処置)に対して、予防処置は「起こり得る不適合」に対しての処置であり潜在的な不適合への対応となります。
ただし、両者とも本質的には変わらず、不適合の内容を確認し、その原因を特定した上で、原因を除去するための処置(予防策)を講じるという、不適合の根本となる原因を取り除く処置を指します。
「予防処置」も「是正処置」と同様、自社の個人情報保護マネジメントシステムへの影響度合いに見合ったものを行っていくことになります。
是正処置と予防処置の手順は?
規格では、「不適合な内容の確認」、「原因の特定と是正処置及び予防処置の立案」、「立案された適切な処置の実施」、「実施された是正処置及び予防処置の結果の記録」及び「実施された是正処置及び予防処置の有効性の評価」が、是正処置及び予防処置の手順として求められています。
- 「不適合の内容の確認」
是正処置及び予防処置の対象となる不適合を明確化します。
内部監査や顧客などからの苦情などによって明らかになるのが一般的です。
- 「原因の特定と是正処置及び予防処置の立案」
不適合の原因を特定し、発生した際の影響に応じて、是正処置あるいは予防処置の立案を行います。
- 「立案された適切な処置の実施」
立案された再発防止策又は予防策を施します。
- 「実施された是正処置及び予防処置の結果の記録」
是正処置あるいは予防処置を施した結果を記録します。
- 「実施された是正処置及び予防処置の有効性の評価」
実施した再発防止策又は予防策の有効性を評価します。万が一、期待された有効性が認められない場合は、「原因の特定と是正処置又は予防処置の立案」から再度見直しをすることになります。