今月は、JISQ 15001:2017「計画策定(A.3.3.6)」についてご説明します。

 

プライバシーマーク取得事業者は、個人情報保護マネジメントシステム(以下、PMS)を
確実に実施するために必要な計画を(少なくとも年1回以上)策定し、トップマネジメント
の承認を受ける必要があります。また、この計画には、教育及び内部監査に関する事項を
含めなければなりません。

 

教育・内部監査計画策定の際は、以下に示す項目を明記するようにしましょう。

 ●教育実施計画書

  研修の年間カリキュラム、個別の研修プログラム(研修名、開催日時、場所、講師、
受講対象者及び予定参加者数、研修の概要、使用テキスト)、予算等

 ●内部監査実施計画書

  当該年度に実施する監査テーマ、監査対象、目的、範囲、手続、スケジュール、前回
までの見直しの結果についてのフォローアップ等

 

なお、「計画策定(A.3.3.6)」は、教育と内部監査に限定するものではありません。
PMSを確実に運用するために、

 ・個人情報管理台帳の見直し

 ・リスクアセスメントの見直し

・各種法規制関連の定期確認

・安全管理策(パスワード変更・バックアップデータ取得・データ削除等)の実施

・委託先評価基準の見直し

・委託先再評価の実施

PMS文書の見直し

・マネジメントレビューの実施

等を含む年間計画をガントチャート形式で策定し、進捗状況を定期的に確認していくと良いでしょう。