今月も「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」の
「必須対応項目」の一つである、各部門及び階層における運用の確認(A.3.7.1 運用の確認)
について、ご説明します。

 

JIS Q 15001:2017(附属書A)では、各部門及び階層における運用の確認に関して、
以下の通り定めています。

===========================================

<運用の確認(A.3.7.1)>

組織は、個人情報保護マネジメントシステムが適切に運用されていることが組織の各部門及び
階層において定期的に、及び適宜に確認されるための手順を確立し、実施し、かつ、維持しな
ければならない。

………中略………

個人情報保護管理者は、トップマネジメントによる個人情報保護マネジメントシステムの見直
しに資するため、定期的に、及び適宜にトップマネジメントにその状況を報告しなければなら
ない。

===========================================

運用の確認(A.3.7.1)は、セキュリティエリアへの入退室記録やサーバーへのアクセスログ等、
(自社で取り決めた)日常のPMS運用状況を確認することで、問題を早期に発見し是正処置を適切
なタイミングで実施することを目的とした要求事項です。


JIS Q 15001:2006
からの変更点としては、各部門及び階層における運用の確認結果について、
『定期的に、及び適宜にトップマネジメントへ報告すること』が追加されました。

 

そのため、運用の確認結果をトップマネジメントへ報告する基準及び頻度を明確にした上で、
自社PMS規程の手順を見直す必要があります。