以前、このblogでも書きましたが、
注文してあったPMS構築・運用指針 【JIS Q 15001:2023準拠ver1.0】のガイドブックが届きました〜!
JIPDECが編集している公式ガイドブックなので、
Pマーク取得事業者は必読の一冊です。
PMS構築・運用指針自体は、
JIPDECのサイト上でも公開されていますので、無料で参照できますが・・・
↓
https://privacymark.jp/system/guideline/outline.html#02
これを読んでも、よくわからない!という方には、
◎それぞれの項目ごとに詳しい解説
◎プライバシーマークの審査で確認するエビデンス例
◎JIS改正に伴う変更点等
などがわかりやすくまとめられていますので、とても参考になります。
以前、このblogでPMS構築・運用指針のポイントを整理しましたが、
私の場合はそのおさらいという感じで読んでみました。
ーーーーーーーーーーーーーーーーーー
<過去blog>
2023.12.25発行 PMS構築・運用指針 【JIS Q 15001:2023準拠ver1.0】
https://plug-in01.com/topics/archives/230
ーーーーーーーーーーーーーーーーーー
ほぼ想定していた通りでしたが、
ガイドブックを見て、「そうだったの!?」と思う部分もありました。
例えば、「J.2.3.2 個人情報保護管理者と個人情報保護監査責任者」という項目。
<<留意事項>>に、
「個人情報保護管理者と個人情報保護監査責任者とは異なる者であること」と規定されています。
ここは以前からそうなってますし、
割とメジャーな決まり事なのでよく知られています。
ところが、ガイドブックには、さらに具体的に以下のような記載があるのです。
・トップマネジメントと個人情報保護監査責任者は兼務できない。
・個人情報保護管理者と個人情報保護監査責任者は兼務できない。
・個人情報保護管理者と監査員は兼務できない。
・個人情報保護監査責任者、及び監査員は、自身が所属する部署を監査できない(部署が一つの場合は除く)。
網がけした2つの内容について、
小さな組織(数人とか)だとあり得るような気がするんですよね。
以前からそうだったのかもしれませんが、
今更ながらちょっとびっくりしました。
あとは、新規で追加された「J.3.4 変更の計画策定」という項目。
こんなシンプルな要求事項・・・逆にどこまで求められてるんだろう?
と気になっていましたが(何しろ唯一の新規追加項目!)、
◎プライバシーマークの審査で確認するエビデンス例には、
「トップインタビューにおける説明」と記載されている
(規程や記録を見るとは書いていない)ので、
規程の文書化や運用上特に新たに必要なことはなさそうですね。
おそらく、マネジメントレビューなどで、
PMSの継続的改善のために必要なこととして、
PMSの変更(規程類の変更や体制の変更、運用上の変更など)について、
もし指示されていたら、その計画も含め確認されるという感じかなと。
私もまだ熟読はしていませんが、
この指針での審査が今年10月から開始されますので、
10月以降に現地審査予定の事業者さんは、
そろそろ準備しないといけませんね!