プライバシーマーク入門講座(連載:第26回-最終回) |
|
2008/01/14 月曜日 08:15:27 JST |
「個人情報保護マネジメントシステム」の構築に向けて(第21回)
~内部規定の作成(第18回)~
いよいよ、今回がプライバシーマーク入門講座の最終回である。
JIS 3.9で要求される"事業者の代表者による見直し関する規定"について述べる前に、PMSにおけるPDCAについて振り返ってみよう。
PDCAとは"マネジメントサイクル"の一つの考え方で、計画(plan)、実行(do)、評価(check)、改善(act)のサイクルをスパイラル状に回しながら、経営目標を達成してゆくもので、経営における営業目標、業務改善、品質、環境・・・色々な場面で活用されている手法である。
これは、業務プロセスの中で改良や改善を行なう上において、プロセスを測定・分析し、フィードバックをかけて次のサイクルに結び付け、改善活動を継続的に行うというもので、デミング(Dr. William Edwards Deming)博士によって提唱されたものである。
ISO-9001には、PDCAの各々は次のように示されている。
P:Plan:顧客要求事項及び組織の方針に沿った結果を出すために、必要な目標及びプロセスを設定する。
D:Do:それらのプロセスを実施する。
C:Check:方針、目標、製品要求事項に照らしてプロセス及び製品を監視し、測定し、その結果を報告する。
A:Act:プロセスの実施状況を継続的に改善するための処置を取る。
さてここで、個人情報保護マネジメントシステムにおけるPDCAについて考えてみよう。
P:Plan:は"「個人情報保護方針」に沿った結果を出すために、必要な目標及びプロセスを設定する"ということになる。
「個人情報保護方針」は、貴社の"個人情報の保護に関する理念"を示すものであり、世間に公表し、「貴社はその"個人情報の保護に関する理念"を実現すべく努力している会社である」ということを、世間にコミットしていることになる。
「個人情報保護方針」を達成する過程において、目標を設定することも考えられる。
JIS Q 15001には、「個人情報保護方針」の実現に向けた「目標」の設定については示しておらず、いきなり、形の上では「個人情報保護方針」の実現に向けての計画を策定してゆくこととなっている。
しかし、貴社が、毎年の経営計画の一部として「個人情報の保護に関する年度目標」を設定することは意味のあることである。
目標を設定することにより、当該年度の個人情報の保護に関する活動の重点内容が明確になり、従業者の意識の統一も図ることができ、改善活動を活発に、また効果的に行なうことができることもある。
確かに、ISO-9001(品質)や14001(環境)等に比べて、「個人情報の保護に関する年度目標」を設定することは難しい面もある。
個人情報の保護は段階的に達成して行くというよりも、ゼロかイチか的な性格を持っており、今年度は個人情報の保護を90%達成する、と言うような目標設定には馴染まないかもしれない。
しかし、「環境変化に適確に追随して、漏えい事故ゼロを目指す」、「残存リスクの件数を何件以下にする」、少し下がって「インシデントの発生を何件以下に抑える」というような目標はありうるかもしれない。
しかし、個人情報の保護においてはアクシデントを発生させないことが暗黙の管理の条件となっており、アクシデントの件数に関する目標は有り得ないであろう。
計画(plan)としては、JIS Q 15001には、次が示されている。
3.3計画
3.3.1個人情報の特定
3.3.2法令、国が定める指針その他の規範
3.3.3リスクなどの認識、分析及び対策
3.3.4資源、役割、責任及び権限
3.3.5内部規定
3.3.6計画書
3.3.7緊急事態への準備
これらが、「個人情報保護マネジメントシステムの計画」に当たる。
すなわち、PMSをどのように構築するかが示されている。これらの中には、実施・運用に入るような事項も示されていると思われるが、一応、計画と考えてよいであろう。
D:Do:は、計画された事項を実施・運用する部分である。
建前としては、上記の計画に基づき、実施・運用を行うことである。
実行(do)としては、JIS Q 15001には、次が示されている。
3.4実施及び運用
3.4.1運用手順
3.4.2取得、利用及び提供に関する原則
3.4.3適正管理
3.4.4個人情報に関する本人の権利
3.4.5教育
これらについては、3.3.5内部規定に包含されて計画にも含まれ、実施及び運用も行われる。
実施及び運用としては、3.3計画の中に一部実施及び運用も含まれて規定されているようにも見受けられ、どの部分までが計画で、どこからが実施及び運用であるかは明確には分けられないと思われる。
ちなみに、個人情報保護管理者は「個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を持つ者」と定義されているので、上記に対する責任と権限を有している位置づけである。
C:Check:は、"「個人情報保護方針」や、各種の要求事項に照らしてプロセス及びその実施・運用を監視し、測定し、その結果を報告する"と考えることができる。
評価(check)としては、JIS Q 15001には、次が示されている。
3.7点検
3.7.1運用の確認
3.7.2監査
JIS Q 15001では、主に適合性の監査が想定されており、「個人情報保護方針」や目標(「個人情報保護方針」の達成に向けての短期的な目標)の達成に向けての、"計画の妥当性や有効性、効率性等"の監査の観点は含まれていないように見受けられる。
しかし、監査の結果が次のA:Actの事業者の代表者による見直しのインプットとなることを考えると、監査には"計画の妥当性や有効性、効率性等"を評価する観点も欲しい気がする。
A:Act:は、"PMSの実施状況を継続的に改善するための処置を取る" と考えることができる。
改善(act)としては、JIS Q 15001には、次が示されている。
3.8是正処置及び予防処置
3.9事業者の代表者による見直し
さて、ここで「3.9事業者の代表者による見直し」が出てきたが、上記のように再度見直してみると、「事業者の代表者による見直し」の位置づけや、「事業者の代表者による見直し」において行なうべき事が見えてくることと思う。
先ず、"上記の計画に対し、実施が適確に行なわれているか(適合性)"があるが、その前に、組織が到達を目指している「個人情報保護方針」に示された理念やそれに基づいて作成される目標(JIS Q 15001には明記していない)の達成に向けて、計画は妥当か、有効かが検証され、次のP(計画)の策定や、計画の修正に結びつけて行く作業が「事業者の代表者による見直し」において行なわれるべき事である。
このような作業(事業者の代表者による見直し)を行なう上において、インプット(考慮)とすべき事項がJIS3.9の中で規定されている。
a)監査及び個人情報保護マネジメントシステムの運用状況に関する報告
b)苦情を含む外部からの意見
c)前回までの見直しの結果に対するフォローアップ
d)個人情報の取扱いに関する法令、国の定める指針その他の規範の改定状況
e)社会情勢の変化、国民の意識の変化、技術の進歩などの諸環境の変化
f)事業者の事業領域の変化
g)内外から寄せられた改善のための提案
「事業者の代表者による見直し」においては、上記の事項を考慮して、また、上記の情報を総合的に判断して、当初の計画は妥当か、有効かを検証して、事業者の代表者として、次のP(計画)に結び付けてゆく方針を決定し、指示してゆくことになる。
従って、よく見受けられる例ではあるが、上記のa)~g)の項目の一つ一つに経営者がコメントしてゆくことが「事業者の代表者による見直し」の役割ではないことはお分かりいただけると思う。
では、より具体的に「代表者による見直しに関する規定」について示す。
n)代表者による見直しに関する規定
"JIS 3.9事業者の代表者による見直し"の中に規定された事項である。
ISMS(ISO-27001)、ISO-9001、14001等にも定められている「マネジメントレビュー」と同じ位置づけである。
ちなみに、1999年版のJIS Q 15001では「定期的にコンプライアンス・プログラム(CP)を見直さなければならない」という文章になっていたため、CPの文書(規定等)の見直しと誤解している企業が多かったが、この項の要求は経営的観点からの「マネジメントレビュー」である。
「事業者の代表者による見直し」(マネジメントレビュー)(以下「代表者による見直し」)の実施の形態としては、会議での実施を定めている訳ではないが、会議として実施することが多い。
また、独立した会議とするか否かであるが、毎月行われる取締役会において、「ある月の取締役会にはPMSに関する議題を上程する」ことに決めておき、実施してゆくことでも良い。
また、ISMS(ISO-27001)、ISO-9001、14001等と統合した「マネジメントレビュー」として実施しても良い。
但し、内容としては、個人情報の保護に関する部分が峻別でき、記録として実施内容が明確に分かることが必要である。
実施時期としては、JISの規格の中では「定期的」な実施を求めており、その実施月を決めておく必要がある。
当然、何か大きな事象(事故の発生、情報の入手等々)が発生した場合には、臨時の「代表者による見直し」が必要になることも考えられるので、それも規定に含める。
定期的な実施時期としては、「代表者による見直し」における検討の結果次第では経営資源の配分の見直し(予算の設定)といった、今後の事業計画への影響も考えられるので、そのようなタイミング(次年度の事業計画や予算の策定の前等)を考えることも必要である。
たまに、「代表者による見直し」を毎月実施している例が見受けられるが、上記の様に、組織が到達を目指している「個人情報保護方針」に示された理念やそれに基づいて作成される目標(JIS Q 15001には明記していない)の達成に向けて、計画は妥当か、有効か、実施状況は適切か、等々を検証し、次のP(計画)の策定や、計画の修正に結びつけて行く作業であることを考えると、毎月実施することが可能であろうか、また毎月実施した場合、その内容が伴うのか、等の疑問がある。
「代表者による見直し」において考慮すべき事項として、a)~g)項のインプット項目が規定されているが、これに限定されず、必要なインプットを考えてゆく。
例えば、是正処置及び予防処置の実施状況等も含めてゆくと議論が活発化する。
「代表者による見直し」においては、a)~g)項のインプットの情報を考慮して、また、それらの情報を総合的に判断して、当初の計画は妥当か、有効かを検証し、また運用に問題がある場合は組織や人事まで検証して、経営的視点から、事業者の代表者として、次のP(計画)に結び付けてゆく方針を決定し、指示してゆくことになる。
また、手順としては、a)~g)項のインプット項目やその他のインプット項目の討議資料を誰が準備するのかも決めておく。
インプット項目として、例えば、「b)苦情を含む外部からの意見」について考えると、もし、このような事例が無かった場合でも、「苦情を含む外部からの意見が無い」ということが一つの情報であり、無いことが正常なのか、又は「苦情を含む外部からの意見」を吸い上げる仕組みが上手く機能していないのか等々、を検討する材料になることに留意して、事例が発生していない場合でも情報として上程する。
「代表者による見直し」の結果は議事録として残し、また、指示事項があった場合はそのフォローを行なう責任者を決めて明記し、必要な場合(タイミングが合う場合)は次回の「代表者による見直し」において、「c)前回までの見直しの結果に対するフォローアップ」として、その効果(有効性)を見直して行くことも必要である。
手順としては、上記のような事項を実施する手順を規定する。
o)内部規定の違反に関する罰則の規定
"JIS3.4.3.3従業者の監督"と関連し、今まで述べてきた「内部規程」に違反した場合の罰則の規程を作成することが要求されている。
罰則の規程は労使双方の合意したものとする必要がある。
労働基準法第2条には、「労働者及び使用者は、労働協約、就業規則及び労働契約を遵守し、誠実に各々その義務を履行しなければならない。」と示されている。
「内部規程」に違反した場合の罰則については、労働協約、就業規則又は労働契約の中で明確にしてゆく。
入社時の誓約書も考えられるが、入社時の誓約書は法律的な効力は無く、あくまでも「労働基準法」で定めるものを考えてゆくのが良い。
就業規則については労働基準法第89条に定められており、「常時10人以上の労働者を使用する使用者に対して就業規則を作成し、所管の労働基準監督署に届け出る」義務を定めている。
労働者には、正社員のみならず、パートタイマー・アルバイトも含まれることに注意する必要がある。
また、「使用者は、就業規則の作成又は変更について、当該事業場に、労働者の過半数で組織する労働組合がある場合においてはその労働組合、労働者の過半数で組織する労働組合がない場合においては労働者の過半数を代表する者の意見を聴かなければならない。」ことも定めている。
通常、就業規則の中には、会社の規則に違反して会社に損害を与えた場合の罰則等が定められており、それを該当させることも考えられるが、個人情報に関して「内部規程」に違反した場合の項目を別途設けて、明確にし、従業者の自覚を促すことが望ましい。
しかし、従業者に対しては罰則で牽制するよりも、モラール、モチベーション、貢献意欲、ローヤリティー、愛社精神、倫理感、等々の言葉に示されるような事項を涵養し、事故や違反を起すことがないようにして行くことも重要であり、ES(employee's Satisfaction:従業員満足)にも留意する必要があることを最後に述べておく。
これで、JIS Q 15001 に基づく「プライバシーマーク入門講座」を了としたい。
半年間、ご愛読頂きありがとうございました。
機会があれば、プライバシーマークの構築・運用に関してのより実際的なポイントや注意事項を、トピックス等を交えて紹介したいと思います。
その時は、また宜しくご愛読の程お願い致します。
―完―
(中小企業診断士 中村 隆昭)
|