是正処置
是正処置とは?
「是正処置」とは自社の個人情報保護の取り組みにおける欠点を正すことです。
「個人情報保護の取り組みにおける欠点」といいましたが、これは通常「不適合」と呼ばれます。プライバシーマーク(Pマーク)では個人情報を保護するための活動としてさまざまなことが求められていますが、そのどれかが十分にできていなければ、その部分が「不適合」と呼ばれるわけです。そしてその不適合を是正する取り組みが「是正処置」なのです。
ちなみにプライバシーマーク(Pマーク)を持っている事業者は是正処置のほかに「予防処置」を行うこともあります。2つの違いについていうと、是正処置は「すでに生じている」不適合を正す処置で、予防処置は「生じる可能性のある」不適合を正す処置ということになります。
是正処置も予防処置も不適合を正すという点は同じですので、プライバシーマーク(Pマーク)の規格であるJIS Q 15001では一つの要求としてまとめられています。
さて、実際に不適合が見つかった場合、是正処置はどのような流れで行われるのでしょうか。プライバシーマーク(Pマーク)の規格にはこれから述べる6つの手順で是正処置を行うことが指示されています。
一つ目は不適合の内容を明らかにすることです。何かの問題を解決するためにはまず「今どのような問題が起こっているか」を確認しなければなりません。それと同じように不適合を正していくためにも「現にどのような状況が生じているのか」、そして「その状況はプライバシーマーク(Pマーク)の規格のどの部分に反しているのか」を明らかにする必要があるのです。
二つ目は不適合の原因を明らかにすることです。「現にどのような状況が生じているのか」に加えて「なぜそれが起こったのか」を突き止めるということです。
三つ目は処置の内容を決めることです。すぐにでも是正処置に取りかかりたいところですが、計画なくして意味のある処置を講じることはできません。先に「これからどのような是正処置を行うか」を計画することが必要です。
四つ目は処置を実行することです。計画した是正処置を期限内に実行することが大切です。
五つ目は処置の結果を記録することです。プライバシーマーク(Pマーク)制度では個人情報保護のために活動したことを記録に残すことが求められますが、是正処置についても同じことが求められています。
六つ目は処置の有効性を評価することです。「有効性を評価する」とは処置に効果があったのかどうかを確かめるということです。有効性を評価すればすでに行った処置で十分なのか、それともさらなる是正処置が必要なのかを判断することができます。
このほか是正処置に当てはまることについては用語集「予防処置」のページでも解説していますので、そちらをご覧ください。