個人情報保護運営管理規定の中の実施時期や回数について
よろしくお願いします。
①「個人情報保護委員会は、原則年●回(●月)に開催する。」
② 原則年●回(●月)に個人情報保護マネジメントシステムの年間計画を記載した「個人情報保護年間計画表」を立案し個人情報保護委員長の承認を得る。
③11.1 個人情報保護方針、個人情報保護目標の設定
Step1 個人情報保護目標、取組み施策の設定
時期 原則年●回(毎年●月)
実施方法 個人情報保護目標及び取組み施策と目標値の設定
関連資料 「個人情報保護方針」及び「個人情報保護目標」
Step2 個人情報保護目標、取組み施策の実行
時期 ●月~翌年●月
実施方法 当社の全社員が実行
関連資料 「個人情報保護目標」及び取組み施策と目標値
Step3 進捗管理
時期 原則年●回(毎年●月)
実施方法 個人情報保護推進責任者は個人情報保護委員会で取組み施策実施状況を報告
関連資料 「個人情報保護目標」及び取組み施策と目標値
④11.3 進捗管理の実施要領
(2) 個人情報保護推進責任者は、原則年●回(毎年●月)に取組み施策実施状況を個人情報保護委員会で報告する。
①は、期毎(年1回)又は半期毎(年2回)が妥当だと思います。
※委員会は会社での役員会的なものですので、委員会=役員会と考えるのも1つの方法です。
②の場合は、年間計画なので期毎(年1回)が妥当だと思います。
③のStep1は、方針や目標なので期毎(年1回)又は半期毎(年2回)が妥当だと思います。
Step2は、Step1での目標の設定間隔に依存します。年1回の設定であれば取組み施策の実行の期間は1年間となり、年2回の設定であれば取組み施策の実行の期間は半年間となります。
※全社員の実行については
・目標が机の上の整理・整頓や机の施錠などでれあれば、毎日の実行
・目標が月間セキュリティ標語の設定などになれば毎月の実行
になるかと思います。目標の内容によって異なります。
Step3は、①での委員会の開催間隔に依存します。
年1回の開催であれば進捗管理は年1回となり
年2回の開催であれば進捗管理は年2回となります。
※報告とは分けて進捗管理として考えるのであれば、目標の内容にもよりますが、3ヶ月間隔や4ヶ月間隔でも良いかと思います。
④は、③のStep3と同様です。なお、内容的にA3-3と同じ事を言っていますのでこの項を削除されても問題は無いかと思います。
以上4項目で原則~となっているのですが、通常考えられる最低限の回数などあれば教えて下さい。
初回からハードルを高く設定しても、実施できないと意味がないのでできれば最低限で行いたいのですが・・・・・
【補足】
上記のお問合せの各項目については、「B07-D01 個人情報保護年間計画表」に記載され管理されるようになります。参考になるかと思いますのでこの様式の(記入例)もご確認下さい。
本件に関わる簡単なPMSに於けるPDCAを示しますので参考にして下さい。
■P(計画)
(1)個人情報保護方針を策定する。
(2)個人情報保護目標を策定する。
(3)個人情報保護年間計画を策定する。
(4)内部監査の年間計画を策定する。
(5)教育の年間計画を策定する。
■D(実行)
(6)個人情報保護目標を実施する。
■C(確認)
(7)内部監査を実施する。
■A(見直し)
(8)委員会などに実施状況及び確認結果を報告する。
(9)代表者による見直し(マネジメントレビュー)を実施する。
※”■P(計画)”に戻り(9)の結果を踏まえて計画を策定する。
実施時期及び最低の実施回数については、会社によっても異なりますが大体の会社では期毎(4月)-年1回や、半期毎(4月、9月)-年2回で設定されています。
なお、最低での実施回数であれば年1回でもJISQ15001上では問題はありませんが、審査員によっては
”1年間隔ではその間に問題が発生した場合、問題が放置されたままとなり、問題の発見が遅れませんか?”
”もう少し間隔を短くして回数を増やされてはいかがですか?”
と言われることもありますので注意して下さい。
プライバシーマークの書類審査の結果がかえってきた答えに対して、修正等をおこなっているところです。 承認のための様式が無いとの3.4.2.の取得利用のあたりで複数指摘…