---

個人情報保護マネジメントシステム構築・運用指針を徹底解説　－「J.6 パフォーマンス評価」編－

---

こんにちは。

ここでは、新しくなったプライバシーマーク（Pマーク）の「個人情報保護マネジメントシステム構築・運用指針」について、セクションごとに紹介させていただいています。

前回は、「J.5 運用」について紹介しました。

PMSという家づくりにおいて、J.3で作成した「設計図（Plan）」と、J.4で整備した「基盤（支援）」を使い、いよいよ「施工（Do）」が始まった段階でした。

計画通りに日々の業務を実行し、変更を管理し、委託先も含めて管理し、それらの活動を「記録」していく、という内容でしたね。

さて、家が建ち始めました（運用が始まりました）。

しかし、その家（PMS）は、本当に「設計図（計画）」通りに建てられているでしょうか？。

手抜き工事や、現場の判断で設計と違う部分ができてしまったり、あるいは、設計図そのものに欠陥が見つかったりしていないでしょうか？。

家づくりでは、現場監督が日々チェックし、完成時には施主（せしゅ）や専門家による厳格な「竣工検査（しゅんこうけんさ）」が行われます。

今回は、指針の6つ目のセクションである「J.6 パフォーマンス評価」について、じっくりと中身を紹介していきたいと思います。

この「J.6 パフォーマンス評価」は、PDCAサイクルの中では、まさに「C（Check）＝評価」の核心部分です。

「実行（Do）」したことが、狙い通りに行われているかを厳しく評価し、問題点や改善の種を見つけ出す、極めて重要なプロセスです。

「J.6 パフォーマンス評価」セクションは、PMSの運用状況を「評価」するための要求事項がまとめられています。

この「評価」は、一つの活動を指すのではなく、大きく分けて3つの異なるレベルのチェック活動で構成されています。

それが、「J.6.1 監視、測定、分析及び評価」「J.6.2 内部監査」「J.6.3 マネジメントレビュー」の3つです。

これら3つのチェック機能が連動することで、PMSが正しく機能しているかを多角的に評価できるようになっています。

一つずつ、順番に見ていきましょう。

J.6.1 監視、測定、分析及び評価

まず最初は、「監視、測定、分析及び評価」です。

これは、添付資料（Wordファイル）の解説にもあるように、「各部門の管理者が、現場レベルでPMSの運用状況を日常的に点検する」活動を指します。

この後に出てくる「J.6.2 内部監査」が、年に1回など、比較的間隔を空けて行う公式的な「検査」だとしたら、このJ.6.1は、もっと日常的・継続的に行われる「現場での点検」や「モニタリング」活動にあたります。

家づくりで言えば、J.6.2の内部監査が「竣工検査」だとすると、J.6.1は「現場監督（各部門の管理者）が、日々、作業の進捗や品質、安全ルールが守られているかを巡回して確認する」活動に近いイメージです。

手順の文書化と実施

まず、指針では、各部門及び階層の管理者（例えば、部長や課長など、現場のリーダー）が、定期的（例えば、毎月）に、及び適宜に、PMSが適切に運用されていることを確認するための「手順」を、内部規程として文書化することを求めています（PDF P32 No.1）。

そして、その手順に従い、PMSの運用状況を確認するために、以下の事項を具体的に決定することが求められます（PDF P32 No.2）。

a) 対象とするPMSの運用状況

（例：「今月の営業部における顧客情報のアクセスログ」「人事部の入退室管理記録」など）

b) 監視、測定、分析及び評価の方法

（例：「ログを目視でチェックする」「管理台帳と現物を突き合わせる」「担当者へのヒアリング」など）

c) 監視及び測定の実施時期

（例：「毎月第1営業日」「毎週金曜日の夕方」など）

d) 監視及び測定の実施者

（例：「各部門の部門長」「部門長から指名された担当者」など）

e) 分析及び評価の時期

（例：「監視実施後、速やかに」「月末の部門会議で」など）

f) 分析及び評価の実施者

（例：「各部門の部門長」など）

日常点検の目的

この活動の目的は、単に「チェックしました」というアリバイを作ることではありません。

添付資料（Wordファイル）の解説にある通り、その目的は「リスクの兆候を発見」し、「不適合（ルール違反や、ルールが守れない状態）が確認された場合は、その是正処置を行うこと」にあります（PDF P32 No.3）。

「内部監査」という大きな検査を待つまでもなく、日々の業務の中で「おや？」「何かおかしいぞ」という小さな兆候（例：アクセスログが不自然に多い、施錠ルールが守られていない時がある）を現場の管理者がいち早くキャッチし、大事に至る前に手を打つ（是正処置を行う）ことが重要なのです。

記録と報告

そして、これらの活動は「やりっぱなし」ではいけません。

実施した監視や測定の結果は、その証拠となる「文書化した情報（記録）」として利用可能な状態にする（残しておく）必要があります（PDF P32 No.4）。

さらに、個人情報保護管理者は、各部門から上がってきたこれらの「運用の確認状況」をまとめ、定期的に、及び適宜に、トップマネジメントに報告することが求められます（PDF P32 No.5）。

これにより、トップマネジメントは、内部監査（年に1回）を待たずとも、PMSの「日々の健康状態」を把握することができるようになります。

J.6.2 内部監査

次に紹介するのは、PDCAの「C（Check）」のハイライトとも言える、「内部監査」です。

J.6.1が「現場監督による日常点検」だとしたら、このJ.6.2は、より公式的・体系的な「検査」です。

家づくりで言えば、「竣工検査」や、場合によっては「第三者機関による品質検査」といった、非常に重要度の高いチェック活動にあたります。

内部監査の2つの目的

添付資料（Wordファイル）の解説にある通り、内部監査には大きく分けて2つの目的があります（PDF P33 No.2）。

それは、PMSが以下の状況にあるか否かを確認することです。

a) 適合状況の監査

（事業者が定めた「内部規程」や、そもそも「この指針（JIS Q 15001）」の要求事項に、PMSが「適合しているか」どうか。つまり、「ルール自体が、必要な基準を満たしているか」をチェックします）

b) 運用状況の監査

（PMSが、その定めたルール（内部規程）通りに「有効に実施され、維持されているか」。つまり、「ルールが、現場でちゃんと守られているか、そして機能しているか」をチェックします）

「立派なルール（a）はあるけれど、現場では全然守られていなかった（b）」、あるいは「現場は頑張っている（b）けれど、そもそもルール（a）が指針の要求を満たしていなかった」というのでは、意味がありません。

この両面から、厳しくチェックするのが内部監査なのです。

実施時期と体制

この内部監査は、「少なくとも年に1回」、及び必要に応じて適宜に実施することが求められます（PDF P33 No.2）。

そして、J.2.3.2で任命された「個人情報保護監査責任者」が、この内部監査の実施において中心的な役割を担います（PDF P33 No.3）。

具体的には、監査責任者が以下の事項を行います。

▼c) 内部監査実施計画を策定、確立、実施及び維持する

（「いつ」「どの部署を」「誰が」「どのくらいの期間で」監査するか、年間の計画を立てます。その際、各プロセスの重要性（例：個人情報を大量に扱う部署）や、「前回までの内部監査の結果」（例：前回指摘が多かった部署）を考慮して、メリハリのある計画を立てることが求められます）

▼d) 各内部監査について、監査目的、監査基準及び監査範囲を明確にする

（今回の監査の「目的」や、何をもって「OK／NG」とするかの「基準」、どこまでを「範囲」とするかをハッキリさせます）

▼e) 監査員を選定し、内部監査を実施する

（監査を行う「監査員」を選び、計画に従って監査を実施させます）

監査員の独立性（重要ポイント）

ここで、J.2.3.2（監査責任者の独立性）と並んで、非常に重要な「監査員の独立性」に関する要求事項があります。

指針では、「内部監査プロセスの客観性及び公平性を確保する」監査員を選定するよう求めています（PDF P33 No.3 e)）。

これはどういうことか？。

添付資料（Wordファイル）の解説や、指針の留意事項（PDF P33）に、明確に書かれています。

「個人情報保護監査責任者は、監査員に、自己の所属する部署の内部監査をさせてはならない」。

つまり、例えば「営業部のAさん」が監査員になった場合、Aさんが「営業部」の監査を行うことは、客観性・公平性が保てない（＝自分の部署に甘くなってしまう可能性がある）ため、原則として認められないのです。

（※小規模な事業者で、どうしても人員が確保できない場合は、その旨を明確にした上で、最大限の客観性を保つ工夫（例えば、監査責任者が厳しく監視するなど）が求められる場合もありますが、原則はこの「他部門監査」です）

報告と記録

監査が終了したら、監査責任者はその結果を「内部監査報告書」としてまとめ、管理層及び「トップマネジメント」に報告します（PDF P33 No.3 f)）。

この報告書には、「どこがルール違反だった（不適合）」「どこは素晴らしかった（適合・好事例）」といった結果が、客観的な証拠に基づいて記載されます。

そして、この「内部監査実施計画」及び「内部監査報告書（結果）」は、PMSを運用した重要な「記録」として、利用可能な状態にすることが求められます（PDF P33 No.4）。

J.6.3 マネジメントレビュー

「J.6 パフォーマンス評価」の最後を飾るのは、「マネジメントレビュー」です。

これは、PDCAの「C（Check）」の総仕上げであり、次の「A（Act）＝改善」へとつなぐ、最もハイレベルな評価活動です。

J.6.1が「現場監督による日常点検」、J.6.2が「専門家による竣工検査」だとしたら、このJ.6.3は、それら全ての報告書を受け取った「施主（せしゅ）自身（＝トップマネジメント）」が、「この家（PMS）は、本当に我々の理念（個人情報保護方針）に適っているか？」「今後、この家をどう維持・改善していくか？」を、経営的な視点から「最終判断」する場です。

トップマネジメントによる見直し

指針では、トップマネジメントが、事業者のPMSが、引き続き「適切」（事業内容や環境変化に適しているか）、「妥当」（要求事項や法令を満たしているか）、かつ「有効」（目的を達成し、成果が出ているか）であることを確実にするために、「少なくとも年に1回」、及び必要に応じて適宜に、マネジメントレビューを実施することを求めています（PDF P34 No.1, 2）。

インプット（レビューのための材料）

トップマネジメントは、レビュー（見直し）を行うにあたり、様々な「情報（インプット）」を考慮する必要があります。

J.6.1（日常点検）やJ.6.2（内部監査）の結果も、このインプットの重要な一部です。

指針では、以下の事項を含むことが求められています（PDF P34 No.3）。

a) 前回までのマネジメントレビューの結果を踏まえた見直しの状況

（「前回、こう改善しようと決めた件は、どうなったか？」のフォローアップ）

b) PMSに関連する外部及び内部の問題点（課題）の変化

（J.1.1で特定した「課題」に、変化はなかったか？ 例：新しい法律ができた、新しい事業が始まった、など）

c) 現在のPMSの運用状況の評価

（1) 不適合及び是正処置の状況（J.7.1）

（2) 監視及び測定の結果（J.6.1）

（3) 内部監査結果（J.6.2）

（4) 個人情報保護目的の達成状況（J.3.2））

d) 利害関係者からのフィードバック

（お客様や取引先からの「苦情及び相談」（J.11.1）の状況や、J.1.2で特定した利害関係者のニーズ・期待の変化）

e) リスクアセスメントの結果（J.3.1.3）及びリスク対応計画の状況（J.3.1.4）

（リスクの評価は変わっていないか？ 対策は計画通り進んでいるか？）

f) 継続的改善の機会

（「もっと良くできる点」は無いか？）

これら全ての情報をテーブルに乗せ、トップマネジメントが経営的な視点でPMS全体を評価・判断します。

アウトプット（レビューの結果、何を決定するか）

インプット（情報）に基づき、トップマネジメントが「決定」した事項が、「アウトプット」となります。

指針では、アウトプットには以下の2つに関する「決定」を含めること、とされています（PDF P34 No.4）。

1. 継続的改善の機会に関する決定

（例：「J.6.2の内部監査で、A部署のルール理解度が低いと報告があった。来年度は、A部署向けの教育を強化しよう（改善の決定）」）

2. PMSのあらゆる変更の必要性に関する決定

（例：「J.1.1の外部課題として、新しい法律が施行されると報告があった。これに対応するため、J.4.5.4の内部規程を改訂する必要がある（変更の決定）」）

（例：「J.6.1の報告で、現場の負担が大きすぎると分かった。J.3.1.1の台帳の管理方法を見直そう（変更の決定）」）

このように、トップが経営判断として「次は、こうしよう」と方向性を示すことが、マネジメントレビューのアウトプット（成果）なのです。

そして、このレビューの結果（議事録など）も、重要な「記録」として利用可能な状態にすることが求められます（PDF P34 No.5）。

まとめ

いかがでしたでしょうか。

今回は、新しいPマーク構築・運用指針の「J.6 パフォーマンス評価」について、その概要を紹介させていただきました。

PDCAの「C（Check）」は、決して一つの活動ではなく、

J.6.1の「現場レベルでの日常点検（監視・測定）」

J.6.2の「監査責任者による公式な検査（内部監査）」

J.6.3の「経営層による最終的な評価・判断（マネジメントレビュー）」

という、3つの異なる視点からのチェックが重層的に行われることで、PMSの「健康状態」を正確に把握するプロセスであることを、ご理解いただけたかと思います。

「やりっぱなし（D）」にせず、厳しく「評価（C）」する。

それは、単に「粗探し」をするためではありません。

この「C（Check）」の結果（＝課題や改善の機会）を受けて、いよいよPDCAサイクルの最後、「A（Act）＝改善」のフェーズに進むためです。

次回、この「C」の結果をどう「A」につなげていくのか、「J.7 改善」のセクションを紹介しますのでよろしくお願いします。