この記事では、Pマーク審査における審査項目の1つである「トップインタビュー」(代表者インタビュー)について、その背景と想定問答を記載しています。
トップインタビューとは
トップマネジメントに対して行う審査です。現地審査にて、以下の内容が適切に実施されているかについてインタビュー形式での審査が行われます。
- 個人情報保護方針を制定し、組織を導くこと
- 組織の普段の業務に、個人情報保護活動を浸透させ、継続的改善を促進すること
- 個人情報保護に対して、経営資源(ヒト・モノ・カネ・情報)を割くこと
- 個人情報保護の重要性を理解し、従業者に伝えること
- 個人情報保護管理者や関連するその他の管理者の個人情報保護の取り組みを支えること
想定問答
トップインタビューでは、一般的に以下のような内容が聞かれる傾向にあります。一部、要求事項にのっとって回答いただく必要がありますので予習が必要です。その他の質問については基本的には正解はありませんので、ありのままの気持ちを回答頂いて構いません。
必須で確認される項目
- 個人情報保護目的について
Pマーク取得の具体的な理由を自社の事業との関係性、自社の課題や利害関係者にはどのようなものがあり、どういった要求事項があるかを説明する必要があります。- 具体的な理由、自社の事業との関係性についてはありのままをご回答ください。
- 課題や利害関係者の詳細についてはこちらをご確認の上、自社ではどのような結果となっているかを把握しておく必要があります。
- 個人情報保護方針について
「個人情報保護方針」をどのような手順で策定し、どのように周知しているのかを説明する必要があります。- 「個人情報保護方針」はPマークの構築・運用指針(J.2.2 個人情報保護方針)を踏まえてトップマネジメントが策定する必要があります。こちらをご参照いただき、要求されていることを理解しておきましょう。
- 周知方法について、個人情報保護方針は、会社のWebページに記載するのが一般的です。自社の個人情報保護方針がどこに公表されているか、アクセス方法を確認しておきましょう。
- 個人情報保護のための資源について
- PMSの運用を推進するための役割、責任及び権限を、誰に任命したのかを説明する必要があります。詳細についてはこちらをご参照ください。
- 上述の推進体制に対して、支援している内容を説明する必要があります。どのように報告を受け、相談等への対応をしているか説明します。
代表的なトップマネジメントへの報告の場は「マネジメントレビュー」ですが、そのほか、「PMS基本規程」、「PMS個人情報保護規程」に記載のある項目は抑えておきたいところです。その他、PMSの活動についてトップマネジメントに報告・相談する場があれば(役員会議など)あわせてご説明ください。 - 人的資源の他に、「〇〇というセキュリティ製品を導入した」「セキュリティ体制強化のために〇〇円の予算を確保した」など、モノ・カネ・情報関連の資源についての質疑応答がある可能性もあります。
- マネジメントレビューについて
- 直近のマネジメントレビューの結果を踏まえて、改善が必要と思うところがあるか、どのような問題点があり対応を指示しているのかを説明する必要があります。要求事項についてこちらを確認の上、直近のマネジメントレビューの報告内容、結果を復習しておきましょう。
- PMSの継続的な改善について
- これまでと今後の改善事項について説明する必要があります。各種報告や課題、利害関係者等状況の変化、監査や審査の結果などを踏まえてPMSの継続的な改善を行う意思があることを表明しましょう。更新審査の場合、改善を行った実績も合わせて説明できると尚よいです。
その他確認される可能性がある項目
- 社内の従業者に対して、個人情報保護の重要性をどのように伝えているか
- 「全社MTGなどを通して、従業者に個人情報保護に対する意識を持ってもらえるよう呼びかけています」などの回答が考えられます。
- 業務拡大やオフィス移転の目的(新規事業の開始や、オフィス移転があった場合のみ)
- 事実をありのままにご回答ください。
- 個人情報についての大きなクレーム、インシデントの経験、ヒヤリハットの有無
- 事実をありのままにご回答ください。
- 組織内で、セキュリティリスクだと考えている部分はどこで、どのような対策をとっているか
- SecureNaviを利用したPMS構築では資産ごとにリスクアセスメントを行っています。その結果と整合していることが望ましいです。