新しくプライバシーマークの構築・運用指針が公表されましたが、注意が必要な箇所として「J.1.1 組織及びその状況の理解」があります。
指針の内容としては、「個人情報保護マネジメントシステムに影響を与えるような外部及び内部の課題を特定すること」とあり、留意事項には、新たにこんな記載があります。
“個人情報保護マネジメントシステムに影響を与えるような課題の把握とは、個人情報の取扱いに関する法令、国が定める指針その他の規範、個人情報マネジメントシステムの確立、実施、維持及び継続的改善に必要な資源(人員・組織基盤・資金)、セキュリティ対策等の観点から、現状のみならず、将来実施するであろう事業を踏まえて洗い出すことを求めている”
洗い出すことを求めていますから、個人情報の洗い出しをする際に、様式を用いて行ったように、いくつかの観点を通した分析結果を残すことが必要だと考えられます。
ここでは、記録の要求は明示的にはありませんが、実質的には、記録を残すことを求めていると思われます。
また、この外部及び内部の課題の把握は、あとに出てくる「J.3.1.2リスク及び機会に対処する活動」と密接な関係がありますので、この箇所との紐付けも必要となります。
実際に、どのようなことを外部及び内部の課題として特定するのか、組織としての取り組み方は、どうするのか、部門毎に行ってみるのか、事務局主導で行うのか等、決めかねる組織もあるかと思います。
少しでも具体的に理解し、運用の手助けになるように外部及び内部の課題の特定におけるサンプル様式(内容例記載)を「個人情報保護マニュアル」の購入者に、進呈中です。