更新申請に必要なこと
更新までに一体何をすればいいのでしょう。皆さまが更新審査のために準備することは次の7つです。
・教育を実施した報告書やテストなどの過去2年分の記録
・内部監査を実施した計画書や報告書などの過去2年分記録
・代表者が見直しをした報告書など過去2年分記録
・個人情報の管理台帳の見直し
・リスク分析の見直し
・委託先の見直し
・日常の運用した記録(個人情報授受票や同意書や記録簿)などのファイリング
まず、個人情報保護マネジメントシステム(PMS)を運用する上で、【年間計画書】の作成が必要です。「○月に教育を実施する」「○月に監査を実施する」「○月に委託先の見直しを実施する」という、年間を通した計画です。この年間計画に基づき1年のサイクルで運用していきますので、更新審査では2年分の記録が必要になるのです。
■チェック1:教育の記録が必要です。
従業者に実施する教育は、初回申請の時に一度だけ実施すればOKというわけではありません。従業者への周知徹底や意識向上を図るため、年に1回は実施する必要があります。
・教育年間計画書
・教育実施報告書
・テキスト
・テストorアンケート
これらの2年分の記録をファイリングしておきましょう。
■チェック2:内部監査の記録はありますか?
全部門への内部監査は、最低年に1回は必要です。内部監査では個人情報の取り扱いは適切か、事故などはなかったか、年間計画の実施はすべてできているかをチェックします。継続的に改善していく必要があるマネジメントシステムにとって、内部監査は重要な実施項目になります。
・内部監査年間計画書
・内部監査個別計画書
・内部監査報告書
・内部監査チェックリスト
これらの2年分の記録をファイリングしておきましょう。
■チェック3:代表者の見直しの記録はありますか?
個人情報保護マネジメントシステムの基本はトップダウンです。全ての指示は代表者から、全ての報告は代表者へ。個人情報保護マネジメントシステムについても同じです。事務局に運用を任せて後は知りませんでは、マネジメントシステムが機能できているとは言えません。この一年、会社の業務に照らし合わせて問題はなかったか、運用の報告について改善指示はできているかなど、代表者への報告と改善指示の記録を残しておきましょう。
・代表者の見直し報告書
これらの2年分の報告書をファイリングしておきましょう。
■チェック4:個人情報管理台帳・リスク分析の見直しはできていますか?
個人情報の特定、リスク分析は初回に実施したら終わりではありません。常にリスクは変化する可能性があります。新たに追加された個人情報があれば、そのリスク分析が適切に実施されているか、追加されたものがなくても、数量、保管方法、廃棄方法に変化はないかなど、台帳の内容の見直しが必要です。また、それに伴いリスク分析の見直しを行い新たなリスクはないか、以前とリスクが変化していないかなど見直しを実施しなければいけません。
・個人情報管理台帳
・リスク分析シート
これらの内容を定期的に見直し(最低年に1回)、最新版をファイリングしておきましょう。
■チェック5:委託先の見直しはできていますか?
委託先の特定については、初回に評価選定を実施していますが、そのままになっていませんか?委託先についても最低年に1回は評価の見直しを実施しましょう。委託先認定時は特に問題がなかった事業者でも、この1年で事故や苦情があったかもしれません。セキュリティ水準が低下しているかもしれません。認定後も委託先を監督する義務がありますので、必ず委託先の評価見直しを実施しておきましょう。また、新たに委託先に認定した事業者とは覚書も締結し委託先管理台帳も追加更新しておきましょう。
・委託先の評価選定シート
・委託先の管理台帳
・委託先との覚書や契約書
これらを最新の状態に更新してファイリングしておきましょう。
■チェック6:日常の運用の記録シートはファイリングできていますか?
日常点検で使用するチェックシートや記録簿はファイリングできていますか?これらは履歴として一定期間保管する必要があります。管理者が確認したことを記録してファイリングしておきましょう。
・運用チェックシート
・入退室記録シート
・アクセスログ確認シート
・個人情報授受票 etc…