個人情報保護統括部門の担当者に…
20年以上も某会社の関連会社でシステム開発をしていた私がある日突然、個人情報保護統括部門の担当者になってしまった。
当社はプライバシーマークを取得しているから、これを維持するために尽力してくださいねとのこと。ところで、プライバシーマークの維持って何をすればいいの?
プライバシーマークと聞いて、私が知っていることと言ったら自分の名刺にプライバシーマークが印刷されていることくらい。
そういえば、個人情報保護のための10か条を月に1回読み上げるとか、運用の確認のチェックを毎月行ってくださいとか、毎年、個人情報管理台帳の見直しを行ってくださいとか、なんだかよくわからないけどやらされていた記憶があるなぁ…
個人情報保護マネジメントシステムって何?
個人情報保護マネジメントシステムとは、個人情報保護に関する組織の行動規範やルールを定め、それに従って実施し、問題がないか検証し、見直しを行うというサイクル(PDCA=Plan→Do→Check→Act)を繰り返す一連の承認された手順のこと。
ん?! 何をいっているの? 何となく、わかるようでわからない!!
そこで、上司である部長に個人情報保護マネジメントシステムって何なんですかと聞いてみた。
すると、ごにょごにょと口ごもりながら、上記と同じようなことを言って、その後に某会社の社長に個人情報保護マネジメントシステムとは何なのかと聞かれ説明したけど、社長に君の言っていることはよくわからないと言われた経験があり、説明して理解してもらうのは難しいことだとのこと。概念的なものは説明できるが、具体的なものについてはわからないということのようだ。
そこで、プライバシーマークの規格であるJIS Q 15001:個人情報保護マネジメントシステム―要求事項を読んでみることにした。
JIS Q 15001の理解
JIS Q 15001を実際に読んでみると、全体的に「~しなければならない。」となっていて、何かしなければいけないことはわかるが、具体的に何をすればいいのかは書かれていない。やっぱり、わかるようでわからない...と首をかしげていたところで、数年前から個人情報保護統括部門の担当者をやっている隣の席の人が、一言。
規格と当社の規程や手順書を紐づけて読んで、実際にどのような運用を行っているか確認してみるといいよ。とのこと...
実際にこの紐づけをやってみたが、恐ろしいほどに時間がかかった。しかし、その分、個人情報マネジメントシステムの全体像が見えてきた。そして、個人情報マネジメントシステムは人に説明して簡単に理解してもらうのは難しいものであることがわかりました。
ということで、私が苦労して得た知識を少しでもお伝えできたらと思い、このサイトを作成してみました。プライバシーマークを新規取得取得するために悩んでいるあなたや、更新審査をのためにがんばっているあなたの少しでもお役に立てたらうれしく思います。