日本最大級のPマークコンサル会社一括見積請求サイト。企業情報リサーチのプロが最適なPマーク取得支援会社をご案内します。

39

2018/11/1

現在

315

2018/11/1

現在

0120-67-6665

管理策

管理策とは?

「管理策」とは、リスクに対応するための対策のことです。

個人情報保護においてはあらゆるリスクが存在します。プライバシーマーク(Pマーク)の取り組みはそのようなリスクから会社が持つ個人情報を保護するためのしくみの運用であると言っても過言ではありません。

リスクが複数存在するように、そのリスクに対応する対策も複数あります。プライバシーマーク(Pマーク)の規格であるJIS Q 15001ではそれらすべての対策のことを「管理策」と定義づけています。

リスクに対応すると一口で言っても、その方法もまた複数あります。リスクを軽減する方法、リスクを回避する方法、リスクを保有する方法、そしてリスクを移転する方法などです。いずれのリスク対応においても、その対応が個人情報保護のための管理策となります。

管理策にはリスクに対応するための手順、方針、実務や処置などが含まれます。

管理策の目的はリスクに対応して個人情報の安全管理を実現することですが、プライバシーマーク(Pマーク)取得会社が実施する管理策がいつでもどこでも意図した成果を出すとは限りません。そのため管理策については定期的に有効性を評価し、個々の管理策が確実な成果につながっているかを検証しなければなりません。

プライバシーマーク(Pマーク)において実施される管理策はJIS Q 15001の附属書Aにまとめられています。なおこの附属書Aというものは2017年に改訂されたJIS Q 15001以降に付属しているものです。

プライバシーマーク(Pマーク)取得会社はリスクアセスメントの結果対応が必要なリスクを把握し、それに対して必要な管理策を考え出すか、あるいはJIS Q 15001の附属書Aに示されている管理策の中から適当な管理策を選択して適用することができます。

管理策の一例を挙げましょう。個人情報保護マネジメントシステムを構築している会社は個人情報セキュリティの役割と責任を定めなければなりません。

役割と責任が定められていないことは個人情報保護に関する一種のリスクとなりえます。役割が定められていなかったゆえに正当に承認されないまま個人情報の取り扱いがなされたりすることが起こりうるからです。

こうしたリスクを修正するためプライバシーマーク(Pマーク)取得会社は一つの方法としてJIS規格が提示する管理策を実施することができます。その管理策とは「全ての個人情報セキュリティの責任を定め、割り当てることが望ましい」というものです。

もちろんこれは望ましい手法を示しているに過ぎないのですが、それでも責任を定め、それを割り当てることは責任が不明確であることに起因するリスクへの対応としてふさわしいものです。

このようにまずは自社の個人情報保護にかかわるリスクを認識し、次いでそれに対応するための管理策を決めていくというのが基本的な管理策の立て方となります。

≪用語集一覧ページに戻る
Copyright© 2017 Pマークの窓口 All rights Reserved.