プライバシーマークで必要な組織体制とは?
プライバシーマークの取り組みを始めるには、まず、個人情報保護マネジメントシステム(PMS)の基礎として、誰がどのような役割や権限を担うのかを明確にしたうえ、組織体制を整備し、組織図(体制図)を作成する必要があります。
ここでは、プライバシーマークを取得するにあたって、最低限必要な組織体制を考えてみたいと思います。
JIS Q 15001 をベースに組織体制を考える
プライバシーマークの準拠規格「個人情報保護マネジメントシステム-要求事項 JIS Q 15001:2017」では、個人情報保護マネジメントシステム(PMS)を運用するにあたって、以下の担当者を割り当てなければならないとしています。
- 個人情報保護管理者
- 個人情報保護監査責任者
加えて、「JIS Q 15001:2017」に対応する公式ガイドライン「個人情報保護マネジメントシステム導入・実践ガイドブック(JIS Q 15001:2017) 第2版: PマークにおけるPMS構築・運用指針対応」では、JISの条項を踏まえるならば、これに加え、以下に示す担当者を据えるのが現実的だとしています。
- 教育担当者
- 問合せ担当者
- 開示等の請求等の担当者
- 苦情及び相談担当者
- 監査員
- 各部門及び階層の責任者・担当者
参考書籍 – Amazon.co.jp
個人情報保護マネジメントシステム導入・実践ガイドブック(JIS Q 15001:2017) 第2版: PマークにおけるPMS構築・運用指針対応
プライバシーマークの審査ポイントを抑え、「JIS Q 15001:2017」の条文を詳しく解説した公式ガイドブック。
また、「行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)」への準拠も必須ですので、マイナンバー関連事務を行う「特定個人情報取扱事務担当者」を追加します。
これらの役職に「代表者」を加え、シンプルな組織図に起こすと、以下のようになります。
人員が少ない事業者では、複数の担当を兼任する例が多く見られます。事業の実態に合わせて、柔軟に役職を割り当てるなどすると良いと思います。
ただし、プライバシーマークの規程上、兼任できない役職もありますので、注意が必要です。(後述)
各役職の役割と実施事項を以下に詳述しますので、参考にしていただければと思います。
代表者(トップマネジメント)
プライバシーマークで運用する個人情報保護マネジメントシステム(PMS)の最高責任者。
「JIS Q 15001:2017」の条文では、「トップマネジメント」と呼ばれます。
一般的には、代表権を持つ社長・会長など(表見代表取締役は不可)が選任されますが、特別な事情がある場合に限り、委任状によって、他の従業員にその職務を代替させることも可能です。
代表者が実施する主な内容をピックアップすると、以下のようになります。
個人情報保護方針(プライバシーポリシー)の策定
個人情報保護の取り組みについて、事業者の理念を明確にし、何のために、どのように、個人情報保護活動を行うのかを、代表者署名で内外に宣言します。
一般的に、会社案内パンフレットやウェブサイトなどで公表することが多いですが、誰にでも閲覧可能な措置を取る必要があります。
PMSにおける担当者の任命
PMSにおける役割と権限を決め、内部の者から選任したうえ、従業員に周知します。
マネジメントレビュー(代表者の見直し)の実施
PMSの運用状況を定期的(年1回以上)に見直しします。
代表者は、個人情報保護管理者からの報告や各種情勢を踏まえ、見直しの判断材料とします。
個人情報保護管理者
PMSにおいて、実施と運用全般に責任と権限を持ちます。
個人情報保護管理者は、代表者が内部の者から適格者を選び、任命します。
組織全体のマネジメントができる者が望ましいと言えるため、代表者が兼任する例も多く見られます。
個人情報保護管理者の役割は、以下のようになります。
個人情報保護マネジメントシステム(PMS)の構築・運用
PMSにおいて必要になる規定やルール、文書の運用フローなど、全ての仕組みを個人情報保護管理者の責任において、実施します。また、プライバシーマークでの各種申請なども、個人情報保護管理者が担当者として申請を行うことが多いです。
代表者への報告
個人情報保護マネジメントシステム(PMS)の見直し(マネジメントレビュー)の材料として、代表者にPMSの運用状況を代表者に報告します。
個人情報保護監査責任者
代表者により、内部の者から選定され、内部監査の実施と報告の責任・権限を持ちます。
代表者や個人情報保護管理者は監査を受ける立場であるため、監査の実効性の観点から、個人情報保護監査責任者との兼任はできません。
個人情報保護監査責任者の実施事項は以下の通りです。
内部監査の指揮
事業者は、個人情報保護監査責任者の責任で、定期的(年1回以上)に内部監査を行う必要があります。
監査は、別途任命された監査員、または個人情報保護監査責任者自身が行いますが、自らが所属する部門への監査はできません。
教育担当者
プライバシーマークでは、定期的(年1回以上)に個人情報保護についての従業員教育を実施することが求められます。教育担当者は、この従業員教育の実施に責任を負います。
問合せ担当者
個人情報の取り扱いについて、問い合わせを受け付ける、窓口担当者です。
役割が近い「苦情及び相談担当者」と兼任する例がよく見られます。
開示等の請求等の担当者
プライバシーマークでは、個人情報について、対象である本人から開示を求められた際、特別な場合を除き、開示に応じることが基本になります。
個人情報の開示等の対応・処置を行い、その責任と権限を負います。
苦情及び相談担当者
プライバシーマークでは、個人情報の取り扱いや、個人情報保護マネジメントシステム(PMS)について、苦情や相談の対応を迅速に行うよう求めています。
苦情及び問合せ担当者は、これらの対応についての権限と責任を持ちます。
監査員
個人情報保護監査責任者の権限のもと、内部監査を実施します。
監査員の選定については、組織の構成や、事業の実態に合わせ、合理的で公平性のある選定が必要になります。
前述の通り、自分が所属する部門を監査することはできないので、注意が必要です。
各部門及び階層の責任者・担当者
個人情報保護マネジメントシステム(PMS)運用の全体統括は「個人情報保護管理者」が行いますが、組織の規模に応じて部門責任者が必要になる場合があります。その際は、組織の実態に合わせて適切な人員を責任者に据えます。
特定個人情報取扱事務担当者
2015年10月5日に施行された「行政手続における特定の個人を識別するための番号の利用等に関する法律(通称:マイナンバー法)」では、特定個人情報(マイナンバーを含む個人情報)を取り扱う担当者を明確化し、適切に監督することが求められます。
当然、プライバシーマークでもこのマイナンバー法に準拠した対応が必須になります。
特定個人情報取扱事務担当者は、マイナンバーの取得から廃棄までに関与する全ての事務担当者を差します。
一般的には、労務や税務などに関係する部門が該当します。
関連記事
プライバシーマークの取得方法は? | マーク認証までの手順を解説
プライバシーマーク取得に向けて取り組みを行うことを決定したものの、何から始めていいのか分からず...