PMSを構築するためには、いくつか必要な役割があります。誰がどの役割を担うのかを考え、役割分担を決めましょう。規格的には、下記の責任と権限がトップマネジメントから各役割に割り当てられることになります。
- 個人情報保護マネジメントシステム(PMS)が、JIS Q 15001の要求事項に確実に適合させる
- PMSの運用状況や結果をトップマネジメントに報告する
規格該当箇所
J.2.1 リーダーシップ及びコミットメント
J.2.3.1 組織の役割、責任及び権限
J.2.3.2 個人情報保護管理者と個人情報保護監査責任者
用語の説明
- トップマネジメント
- 企業などの組織内のトップを指す。PMS構築、運用に必要な人、お金、設備、時間などの資源を手配できる権限を持つ人を指す
- トップは、個人でも複数人の集まりでも良い(CEO、代表取締役社長、経営層 など)
- 資源
- 人員:PMSを構築・運用する要員
- 組織基盤:PMS規程、PMS体制、施設・設備(執務スペース、鍵付きキャビネットなど)
- 資金:要員確保費用、設備導入費用、教育費用
- 利害関係者
- 組織(自社)に関わりある個人や組織のこと
- 例としては、個人情報の本人、従業者、顧客、委託元、委託元の顧客、委託先がある
- 組織の決定事項や活動によって、何らかの影響を与える可能性があったり、反対にその人や組織の決定事項や活動によって影響を受ける可能性があれば、それは利害関係者といえる
- 従業者
- 雇用関係の有無に関わらず、組織の事業に関わっている人を指す
- 例としては、取締役、執行役、理事、監査役、監事、正社員、契約社員、嘱託社員、出向社員、パート、アルバイト、派遣社員などがある
- リーダーシップ
- PMS構築、運用をするために、従業者を統率すること
- コミットメント
- PMS構築や運用に積極的に関わること
要求されていること(役割の詳細)
トップマネジメント
トップマネジメントには、以下が求められています。
- 個人情報保護に必要な役割を社内から任命
- その任命を全社的に周知
- 役割ごとの責任と、その責任を果たすために必要な権限を文書化する
具体的には、下記を責任持って率先することが求められています。
- 組織(企業)の個人情報の取り扱いの大方針(個人情報保護方針)や自社で個人情報を保護する目的を定め、それが組織の事業戦略の方向性と違わないようにすること
- JIS Q 15001でPMSに求められる事項を業務マニュアルに違和感がないよう組み込むこと
- PMSを作り上げ、運用するために必要な人、お金、設備、時間などを適切に手配すること
- 有効的なPMSを作り上げたり、運用すると組織にどのようなメリットがあるのかや、JIS Q 15001がPMSに求める事項を守ることがなぜ重要なのかを従業者などの利害関係者に周知すること
- 作り上げたPMSを違反することなく、適切に運用できるよう協力、指揮をとること
- PMSを作り上げたり、運用するために立てた計画が予定通り進むよう、従業者を指揮すること
- 作り上げたPMSは、よりよい個人情報保護ができるものになるよう継続的に改善するよう促すこと
- その他、PMSの構築、運用に関連する管理者がスムーズにやるべきことができるよう、サポートすること
これらの事項はトップマネジメントが自ら実行してもOKですし、トップマネジメントから適切な人に権限を渡して、実行する体制を整えることでもOKです。
個人情報保護管理者
PMSの計画から運用までの全般的なことを対応する人です。PMSの見直しや改善のために、トップマネジメントへPMS運用状況の報告なども対応します。
- Pマーク審査を中心となって対応
- 書類作成などの実働は、他の従業者を任命して任せることも可能
- 個人情報保護管理者として望ましい条件
- 資格などの条件はなし
- PMS構築・運用を主導で実施するため、事業内容を理解している人、各部署などに依頼できる立場の人(社長、管理職の人、総務部の人 など)
- 原則、PMSの内部監査員は兼務できない
- PMS構築に主に携わっており、セルフチェックの独立性を確保するため内部監査員にはなれない
- 組織が小規模で人数的に監査員を務めるしかない状態の場合のみ、監査員を担当してもOK
個人情報保護監査責任者
PMSが適切に守られているかなどを客観的な立場から実施する内部監査の計画から実施、監査の結果報告までを対応する人です。内部監査は毎年1回以上の実施が必要です。
- 個人情報保護監査責任者として望ましい条件
- 資格などの条件はなし
- 可能であれば、個人情報保護管理者と同等かそれ以上の権限がある人(管理職の人、総務部部長 など。個人情報保護管理者より立場が下だと、客観的・公平的な監査ができづらい恐れがあるため)
- 内部監査を実施する場合、自分の部署の監査は実施できない
- 内部監査の客観性を担保するため
-
代表者(CEO,社長)は個人情報保護監査責任者に任命できない
- 代表者は経営資源の分配等を通じて、PMS体制の整備・運用に主体的に関与するため、監査の客観性が担保しづらく、有効な監査ができない恐れがある。そのため、Pマークとして代表者が個人情報保護監査責任者を担当するのは禁じられている
特定個人情報取扱事務担当者
名称は何でもOKで、社内でマイナンバーを取り扱う担当者と認識できれば良いです。
- 社会保障や税に関する手続書類作成などのマイナンバーを取り扱う業務を対応
- JIPDECが公表している「特定個人情報の取扱いの対応について」にマイナンバーを取り扱う担当者の役割・権限を内部規程に文書化と記している
- 特定個人情報取扱事務担当者として望ましい条件
- 資格などの条件はなし
- 管理部、経理部、人事部、総務部などの実際にマイナンバーを取り扱う人(複数名でもOK)
受付窓口担当者
組織の個人情報の取扱に関する苦情や相談の連絡や、個人情報の本人から、「どんな私の個人情報を持っているの?」「私の個人情報を削除してほしい」などの連絡に対応する窓口担当者を指します。
その他の役割
組織としてPMS構築・運用のために必要な役割があれば、下記を例にして追加でその役割を任命することは可能です(マストではありません)。
- Pマーク委員会
- Pマーク取得・維持のため、PMS構築・運用の実働を担う委員会
- 教育担当者
- PMSで必要な教育の計画、手配(教材作成も含む)などを行う担当
- 教育は、毎年1回以上の実施が必要
各役割に任命できない人
会社法における監査監督などの観点で、下記の人はPMSの役割に任命できません。
- (会社法上の)監査役
- 役割に任命されると、継続的にトップマネジメントの監督下に監査役が入ることになり、主従関係が発生します。それにより、監査役が独立した視点で監査することができなくなるためNG(会社法第335条違反にあたる)
- ただ、PMSに関与することまでは禁じられていない。そのため、個人情報保護に関する社内ミーティングに参加し、監査役としての意見を出すことなどはOK。むしろ、業務監査(適法性監査)の観点からは望ましいともいえる
- 社外取締役
- 役割を任命されると、組織の業務執行者となっていまい、社外取締役の要件を満たせなくなるためNG(会社法第2条15号違反にあたる)
- パート/アルバイト
- 個人情報保護管理者と個人情報保護監査責任者には任命することができません
-
申請事業者の役員(監査役を除く)または正社員以上の方を任命してください
やること
上記の役割をプリセットで用意していますので、「編集」ボタンから担当者を割り当てましょう
役割の任命が終わったら、「PMS社内体制表」の文書をトップマネジメントに承認してもらいましょう。
よくある質問
兼任することができない役割はありますか?
以下の役割は兼任することができません
- トップマネジメントと個人情報保護監査責任者(JIPDECサイトに記載あり)
- 個人情報保護管理者と個人情報保護監査責任者(指針に記載あり)
最小何名の組織でPマークの取得が可能ですか?
2名以上の組織で取得可能です。
2名の場合、以下のような役割になります(代表者Aさん、従業者Bさん)
- トップマネジメント:A
- 代表者が務める
- 個人情報保護管理者:A
- 保護管理者と、保護監査責任者は兼任できない
- 個人情報保護監査責任者:B
- 代表者Aさんは保護監査責任者に任命できない
- 個人情報保護監査員:A, B
- 自部署の監査は実施できないため、トップマネジメントAさんが、Bさんの部署を監査するの必要がある
- 特定個人情報取扱事務担当者:A or B
- 特に選定基準に制限はない
また、役員2名の場合でも以下が保たれていれば問題ありません
(社会保険もしくは労働保険に加入した正社員、若しくは登記上の役員)
- 個人情報保護管理者 ≠ 個人情報保護監査責任者
- 個人情報保護管理者 ≠ 個人情報保護監査員
内部監査員はどのような人が担当できますか?
役職に関係なくどんな社員でも担当できます。トップマネジメントが個人情報保護管理者になりえるため、監査側と被監査側の上下関係は、規格的には制限してはいません。