プライバシーマーク(以下、Pマーク)を取得するためには人が携わることは不可欠です。

取り組みそのものは書類を作るだけではなく、個人情報の管理の仕組みを運用するための責任者やそれをチェックするための責任者を最低限定める必要があります。

A3.3.4は主に人の役割やその役割における責任や権限について定めています。

今回はPマークの取り組みを行う上に必要な役割等について触れてみたいと思います。

 

【個人情報保護管理者】
絶対に定めないといけない役割の1つに個人情報保護管理者があります。
会社によっては名称が若干違うことがありますが、いわゆるPマークの取り組みにおける責任者になると考えてください。

取り組みにおいてはリーダーが存在しないとちゃんと取り組みが推進されないので、絶対に必要な役割になります。

では、どういった方がなるべきなのでしょうか。
要求事項の解説などでは「社外に責任が取れる方」が望ましい。と言われています。
会社における部長や取締役の方ですね。
やはり、なにかあった際には責任者として説明等を行うべき立場でもあるので、職務における権限もある程度必要になると考えられます。
ただ、ある程度役職が上の方は仕事でも忙しい立場でもありますので、なかなか理想通りにはいかないものでもあります。。。

ですので、実態として一番多いのが自社の個人情報を取り扱う業務について詳しい方、精通している方がケースとして一番多いです。
他には人事や総務と言った管理部門の方がなったりするケースもあります。

 

 

【内部監査責任者】
もう1つ絶対に立てないといけない役割が内部監査責任者です。

これはPマークの取り組み上必ず実施しなければならない、内部監査を実施する上での責任者になります。

この方についても要求事項としては「社外に責任が取れる」が望ましいとされています。
また、取り組みを行う上で個人情報保護管理者よりは職務上の役割が同等以上の方が望ましいと考えられます。
理由としては、個人情報保護管理者に対して「あなたこれ出来てないですよ」と指摘する必要があるため、仕事上の部下の方が内部監査責任者になってしまうとなかなか指摘がしづらいケースが出てきてしまうと考えられます。

ですので、出来れば個人情報保護管理者よりも職務上は上の方がベストではあります。

また、会社の社長は内部監査責任者にはなれないので注意が必要です。

 

【任命する上での注意点】
個人情報保護管理者や内部監査責任者を任命する上での注意点ですが、必ず別の方を任命する必要があります。
つまり、最低でも2名の人員が必要になるわけです。
ですので、1人しかいない会社ではPマークの取得は出来なくなってしまいます。。。

また、会社法上の「監査役」にPマークの役割を任命することも出来ないので、任命する際には注意が必要です。

この任命はちゃんと理解して行っておかないと審査機関にPマーク取得の申請を行っても審査を進めてもらうことが出来ないので必ず遵守する必要があります。