|
■ 内部統制の仕組みを作り、遂行させるのは社長である
あらゆるマネジメントシステムにおいて、その最高責任者は事業者の代表者(社長)です。このことは、現在進めている「内部統制」の仕組み作りに照らしても明らかです。
すなわち、内部統制は、
- 業務の有効性及び効率性
- 財務報告の信頼性
- 事業活動に関わる法令等の遵守
- 資産の保全
の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスである、と規定されています。
この内部統制の仕組み作りは社長の責務です。したがって、社長は内部統制の仕組みを作り、全ての従業者にそのプロセスを遂行させなくてはなりません。
それを実現して、初めて、社長は「当社の事業は有効的及び効率的に進められており、公表している財務報告書は信頼性が確保されていて、事業活動全般にわたって関連法令等を遵守しており、資産はすべて保全されている。」ということを合理的に保証でき、説明責任を果たすことができるのです。
このことはそっくりそのまま個人情報保護マネジメントシステム、つまり個人情報保護に関する内部統制の仕組み作りにも当てはめることができます。
つまり、個人情報保護の仕組み作り、とりわけ組織作りとその資源の確保は、事業者の代表者たる社長の専管事項であるということです。
■ 組織作りと資源確保の方法
それでは、社長はどのような組織を作り、そのために必要な予算=資源はどれほどのものを想定すべきでしょうか。
組織作りとその資源の確保は、社長が自らなさねばならない事項ですが、社長が直接的に、どのような組織が必要で、どの程度の予算措置が必要であるかがわかっているわけではありません。
組織規模、そこに付与すべき権限、安全管理その他の仕組み作りのために必要な予算規模は、今まで延べてきたリスク分析の結果の「安全管理策」の内容や、ガイドラインその他が求めている安全管理の基準、水準などによって決めることになります。
つまりCPO(個人情報保護管理者)を中心としたプロジェクトが上申し、社長はそれを精査し、評価した上で承認します。
この精査、評価の過程で、もう一度安全管理策の検討に戻り、仕組みの見直しが必要なケースもあり得ることですが、この見直しは、あくまでも個人情報が漏えい等した場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人情報の取扱状況等に起因するリスクに応じた必要、かつ、適切な措置を講じることが求められているという事を前提としなければなりません。
この見直しのフェーズに過度にコスト・ベネフィットの考え方を持ち込むことは厳に慎まなければならいということです。
■ 個人情報保護のための組織の例
では、想定される組織とはどのような組織でしょうか。一例として以下のような組織が考えられます。
上記の内容を実現するためにJISQ15001:2006では、以下のように要求事項を規定しています。
|
事業者の代表者は、
- 個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、改善するために不可欠な資源を用意しなければならない。
- 個人情報保護マネジメントシステムを効果的に実施するために役割、責任及び権限を定め、文書化し、かつ、従業者に周知しなければならない。
- この規格の内容を理解し実践する能力のある個人情報保護管理者を事業者の内部の者から指名し、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わせなければならない。
個人情報保護管理者は、
- 個人情報保護マネジメントシステムの見直し及び改善の基礎として、事業者の代表者に個人情報保護マネジメントシステムの運用状況を報告しなければならない。
|
|
CPO(個人情報保護管理者)は社長の命を受けてこれらのことを実施実現し、年度ごとに行われる「マネジメントレビュー(社長の継続的な見直し改善)」に資するために、社長に個人情報保護マネジメントシステムの運用状況を報告しなければなりません。そのことによって、社長は自社の個人情報保護マネジメントシステムをより良いものに継続的に改善するという責務を全うすることができるのです。
|
