継続的改善のしくみ
JIS Q 27001(情報セキュリティマネジメントシステム)でもJIS Q 15001(個人情報保護マネジメントシステム)でもPDCAサイクルの構築による情報管理の継続的改善が要求されています。試験では、PDCAとは何か理解できているか、より具体的にはP、D、C、Aのそれぞれのステップでどのようなことをすべきかわかっているかが問われます。
P(Plan:計画)
このステップでは以下のようなことを行ないます。
- 個人情報保護方針の策定
- 個人情報の特定
- リスクアセスメント
- 内部規定の策定
- 緊急事態への準備
まず、個人情報保護についての基本方針を定めます。
次に、組織として取り扱う個人情報にどのようなものがあるのか確認し、それが適切に取り扱われなかった場合どのような事態に陥るのか検討した上で、取扱い方法を決めて規定として文書化します。
法令の参照(どのような法的規制があるのか確認すること)もこのステップでするべきことに含まれます。
また、万が一事故が発生した場合、どのように対処するのかをあらかじめ決めておきます。
キーワードは、「計画」「策定」「準備」です。
D(Do:実施)
このステップでは、計画したことを実行に移します。
個人情報を適正に取得、管理しすることはもちろん、苦情に適切に対応することが含まれます。
また、個人情報保護体制の周知や従業者の教育もこのステップでするべきことにあげられています。
C(Check:点検)
運用状況の確認や内部監査により、計画段階で策定したルールがその通り実施されているかを点検します。
A(Action:改善)
このステップでは、点検結果を踏まえて、問題に対する是正処置・予防処置をとったり、ルールの見直しをしたりします。
まとめ
計画→実施→点検→改善という一連の流れがあることをおさえてください。
計画と点検に何が含まれるのかはあまり間違えないと思います。やや危ないのはDとAの区別でしょう。計画をしたことを実行に移すのがDで、点検結果を踏まえて改善策をとるのがAであるとご理解ください。