内部統制ナビ

個人情報保護管理者を組織の内部の者から任命します

経営者は、実質上の代表者に次ぐ個人情報保護マネジメントシステムの最高責任者である「個人情報保護管理者」を任命する必要があります。組織全体の取り組みであり、トップダウンによる対応が求められることから、組織全体に指示を出し、統制することのできる役員クラスが担うことが望ましいでしょう。

JISQ15001の要求事項では、この管理者を「事業者の内部の者」から指名するように規定しています。つまり、外部のコンサルタントなどに任せることはできないということなので注意が必要です。

個人情報保護管理者はマネジメントシステムの実施・運用に関する業務を行い、その運用状況について事業者の代表者に適時、報告しなければなりません。報告する場としては、経営会議や情報セキュリティ委員会など代表者が出席する会議体で行います。

この報告に基づいて、要求事項である「事業者の代表者による見直し（マネジメントレビュー）」を行いますので、報告の内容には「教育や訓練の実施状況」、「日常点検の結果」、「是正処置及び予防処置の状況」なども含むことが望ましいです。

• 内部統制
• 日本版SOX法
• 新会社法
• IT統制
• ISO27001
• ISO20000
• ITIL
• プライバシーマーク