認証取得までに必要なタスクのスケジュールを決定し、年間計画を作成しましょう。
規格対応箇所
J.3.3 計画策定
要求されていること
- 年1回以上、PMSを実施するために必要な計画を立案し、それを文書化する
- 計画を作成する目的は「個人情報保護目的」(J.3.2 個人情報保護目的及びそれを達成するための計画策定 )を達成すること
- SecureNaviでは構築ガイドのファーストステップで年間計画を作成できるようにしている。そのPMSの1サイクル全体のスケジュールと、各項目(教育・内部監査)の個別の計画書も計画書をあわせ、全てで「計画書」となる
-
SecureNavi上で作成される計画は以下の通り
- 役割の確定・見直し
- 組織の状況(課題・利害関係者)の確定・見直し
- 個人情報保護方針の制定・見直し
- 個人情報保護目標の確定・見直し
- 教育の計画と実施
- 個人情報の洗い出しの実施・見直し
- 法令等の選択・見直し
- リスクアセスメントの実施・見直し
- PMS基本規程の制定・見直し
- PMS個人情報保護規程の制定・見直し
- 委託先の見直し・モニタリング
- 内部監査の計画と実施
- マネジメントレビューの実施
やること
「取り組み期間の追加」から、認証制度「Pマーク」を選択して作成をすると、
上記の計画一覧が出てきます。各計画に対して、担当者と期限を設定しましょう。
年間計画の作成後、個人情報保護管理者にて年間計画を承認しましょう。
(ガイド02.役割を決めるにて、個人情報保護管理者を指定してから実施します)
承認後、個人情報保護管理者にて、対象の計画の三点リーダーから「年間計画を表示」をクリックすることで出力用のフォームを閲覧することが可能になります。
よくある質問と答え
取得後(2年目以降)の計画を立てる際、年1回実施する項目はどのように決めれば良いでしょうか?
新規取得で実施した月をそのまま流用すれば問題ないです
例)新規取得時に「個人情報の洗い出し」を2022年10月に行なった場合、運用フェーズでは毎年10月に管理している個人情報の見直しを実施する
ISMSも取得されている企業は、審査機関と調整いただき、ISMSとサイクルを合わせることもあります。
計画に対し、実際に行なったタイミング(実績)は必要ですか?
不要です。
実施記録が必要な項目は報告書を別途作成します。そこに実施日を記載することで対応できるので計画表には記載する必要はありません。