要求事項にはパフォーマンス評価という項目があります。このパフォーマンス評価については、PMSの運用の確認と監査およびマネジメントレビューに分けられます。
A.3.7.1 運用の確認
自社のPMSが適正に運用されているかを確認するための規定を定めます。
実施には、安全管理の状態(書庫キャビネットの施錠状態、入退室のチェックなど)を中心に確認します。
ポイント
- 運用確認チェックリストを作成し月1回(又は週1)で、入退室の記録・施錠管理状況・ウイルス対策ソフトやOSの更新状況の確認を行ないます。
- 別途「入退室確認表」等を作成する際には、日々最終出入時刻等に加え、電源・施錠・机上の整頓状況などのチェック項目を追加しこの記録をもって確認するなどの方法をとる。
- 運用確認は、スポットとなりますが日常やるべき事項、社内PCのログオフやパスワード設定状況などに重点を置き確認項目をリストアップする。
A.3.7.2 内部監査
内部監査は、自社のPMSの運用がJIS要求事項に適合しているかおよび運用が適正であるかを監査します。
PMSが規格に適合しているかの部分については、各内部規程などの改廃が実施された場合においてはその部分を確認し、その適合性を確認します。
運用状況の確認については、運用の確認は安全管理措置などの一部の確認であるものに対し、監査の場合は、規定した内容が規格に適合し、運用の全体が規定どおりに実施されているかを確認するという風に考えれば理解しやすいと思います。
なお、監査については、年1回以上全社に実施する必要があり、監査員が所属している部門では監査員以外のものによる監査を行う必要がります。
ポイント
- 事業年度を1サイクルとして、年度前(又は年度初め)に監査計画(時期・場所・内容)を立てる。
- 監査は定期的に実施が必要であり、規格では計画立案を要求しています。
- 監査計画および実施結果は代表者に報告する手順を規定化する。
- 更に代表者は個人情報保護管理者へ内容をフィードバックする手順も追記する。
- 監査には監査チェックリストを作成し、対応する。
- 監査チェックリストは要求事項の項目に準じた(それに伴い自社で設定した手順内容を記載)レイアウトとし運用する。 ※チェック項目は多くなります。
- 監査リストには、確認した内容(現地OR記録類)・適正性の有無判断に対するコメント(エビデンス)欄の設置、不適格になった場合の指摘内容記載欄を設ける。
- 監査員の所属部門の監査については、監査チェックリスト中当該部門で必要な項目のみを監査する。
- 個人情報の取扱いや安全管理措置に関する事項はほぼ、業務部門全てにあてはまりますが、個人情報保護方針の掲示などは社としての部分としてとらえ(リストへは「部門監査のため除外」)など表記し整理する。
- 監査実施後は「監査報告書」の様式作成にて対応する。
- 報告内容については、今後の見直しの課題として、不安要素がある部分など、監査員の所見欄を設ける。現場で気づいた点をより多く抽出するための工夫をする。
- 監査実施で指摘事項が発生した場合の対応として、報告書には、その対応経緯が確認できる様式としフォローアップできる体制を整える。
A.3.7.3 マネジメントレビュー
マネジメントレビューは、自社のPMS(個人情報保護マネジメントシステム)を継続的な維持・改善を行うために実施します。
自社のPMSをスパイラルアップさせその精度を向上させるため、一定期間(事業年度単位等)の最後に実施するイメージです。
(PMSの実施⇒点検⇒改善⇒次期計画)
代表者による総合的な見直しと捉えると、自社のPMSの教育や監査などが一通り実施されその結果を元に、次の事業年度(又は一定の期間)はどのような運用としていくか?振り返り必要とされる改善策は何か?などを検討することになります。
また、見直し事項については、一定項目が定められていますのでそれらの項目の情報を材料に検討することになります。
ポイント
- 「マネジメントレビュー議事録」として、JIS規格に定められた事項および自社で必要な情報項目を記載し、今後の課題、次期年度に実施する対策(内容や設備購入ならその旨など)を作成していきます。
- 以後は前回議事録および実施結果資料などをもとに繰り返していきます。
- マネジメントレビューの時期などは他の計画事項(教育や監査など)とあわせ「PMS運用年間計画書」などを作成の上管理を実施する。