「JIS Q 15001」の「個人情報保護に関するコンプライアンス(法令遵守)プログラムの要求事項」では、個人情報保護のためのマネジメントシステムを確立し、それを実施・運用し、改善していくことを求めている。マネジメントシステムは、Plan-Do-Check-Action(PDCA)のサイクルのスパイラルアップモデルのシステムによって、継続的な改善を実施することが重要である。(TBCソリューションズ主任コンサルタント 植野俊雄)
マネジメントシステムには、一般に成熟度が存在する。成熟度は通常5段階に分けられる。各段階は、(1)初期段階:個別対応の段階、(2)手順制定段階:主要なルールができて利用された段階、(3)手順定着段階:ルールが各所に行き渡り、管理され、定着した段階、(4)改善段階:ルールが見直され改善が図られている段階、(5)最適化段階:効率が追求され最適化が図られている段階──のように定義できる。
個人情報保護のマネジメントシステムの確立は、この5段階の(2)「手順制定段階」に当たる。それが実施され、運用され、定着すれば、(3)「手順定着段階」になる。最初に構築したマネジメントシステムを定着させただけでは、時間の経過に伴う状況の変化に乗り遅れてしまって、不十分なものになってしまう。常に見直し・改善を行い、最新の経営環境に則した内容で維持しなければならない。これが図られれば、(4)「改善段階」になる。
さらに事業内容に照らして最適で、かつ運用が効率的になるように、常に評価と評価に基づく改善が図られれば、最後の(5)「最適化段階」になれる。
マネジメントシステムの維持・改善のためには、定期的な教育、内部監査、経営者による見直しが必要である。定期的な教育、内部監査は、定着および維持に対して有効であるが、毎年同じ内容の教育、内部監査を実施しているだけでは、成熟度の向上は期待できない。
そこで成熟度の段階を1つひとつ向上させるように、内部監査の監査視点を段階的に変えていくことが求められる。現時点の段階を全うしていることを監査するとともに、次の段階へのチャレンジをしているかを監査するのである。前者は、適合性監査そのものであり、後者は助言的監査になる。前者を厳しく行い、後者を温かく行うのが良い。
