PMSを運営していく上での各役割に対する責任や権限を予め規程化しておきます。JIS要求事項においても、これらは文書化し従業者に周知させることを求めています。
A.役割・責任・権限の決定
最低限としては、個人情報保護管理者と個人情報保護監査責任者となりますが、中規模組織や、部署が複数となる場合などはその補佐的な職位を(部門責任者や部門担当者)を設置し、それぞれの役割と権限を決定します。
ポイント
- 責任、役割は規程し、文書化する。(個人情報の特定の実施又は承認などの表記)
- 要所で代表者への報告が必要なものもあるためその内容を記載する。(運用の確認の状況報告、監査結果の報告など)
- 社内に通知できるよう「個人情報保護体制」を作成する。
B.役割・責任・権限の周知のなど
決定した各役割の構成については、前途の「個人情報保護体制」を配布の上、全社に周知させる。
また、各責任や権限等については、教育等の実施により周知させるなどの方法があります。
ポイント
- 要求事項について、事業者の代表者の必要な資源の確保についての事項は、PMSの文書作成時に文書化させる。
- PMS運営上に必要な資源などは当然ながら確保されるということが前提です。
- 個人情報保護管理者は、個人情報保護マネジメントシステムの運用状況を報告する必要があります。
- この内容についても、責任・役割項目に追加する。実質として、報告についてはPMS運用全体の中で実施されることとなります。
C.PMS権限や責任の文書化:表現例
ア.代表者(代表取締役)
経営最高責任者として個人情報保護に関する全ての責任と権限をもつ。
個人情報保護方針の承認および決定および実施。
PMSを確立し、効果的に実施するための資源の用意。
個人情報保護管理者を内部の者から指名し、PMSの実施および運用に関して権限と責任を与え業務を行わせる。
個人情報保護監査責任者を内部の者から指名し、監査の実施および報告を行う権限と責任を与え業務を行わせる。
代表者による見直しを主催し決定を下す。
個人情報保護マニュアルおよび関連内部規定の承認を行う。
教育計画書および監査計画書の承認を行う。
苦情・相談案件の報告、監査報告を受け確認を行う。
指摘事項を確認し、是正処置を承認する。
緊急事態発生時に指揮をとり早期解決を図る。
内部規定違反者に対する処分の決定を行う。
イ.個人情報保護管理責任者
PMSの実施および運用に関して権限と責任をもち業務を行う。
PMSに関する申請書、記録その他関連文書類の承認を行う。
個人情報保護マニュアルおよび関連内部規定の改訂・追加を行う。
PMSの見直しおよび改善のため運用状況について代表者へ報告を行う。
教育計画書の立案および作成、緊急事態の発生、苦情・相談案件発生時の報告書の作成又は承認を行い代表者へ報告を行う。
PMS運用のため「PMS運用年間計画表」および「PMS文書・書式管理 早見表」を毎年度ごとに作成し、運用管理を行う。
ウ.個人情報保護監査責任者
監査計画書による計画の立案および監査の実施。監査結果は報告書を作成して代表者に報告する。
監査で指摘した是正・改善事項につき、その実施結果をフォローアップする。