JIS Q 15001:2017｜Pマーク　ISMSのコンサル　取得は
スリープロサポート株式会社

Pマークコンサルタント：HOME ＞JIS Q 15001:2006 ＞ JIS Q 15001規格解説 3.6〜3.7.1

　JIS Q 15001:2006　規格解説　項番3.6〜3.7.1

　本人から個人情報に関する苦情及び相談があった場合、企業は迅速に対応する体制を構築しなければなりません。ある意味、開示請求と類似している部分もありますので、双方の手順を統一したほうが運用上スムーズにいく場合が多くあります。
　3.7「点検」における3.7.1「運用の管理」では、PMSの日常的な管理について要求しています。しかし、この要求事項はそれほど大げさな事を要求しているわけではない事を理解しましょう。それは、個人情報を取り扱う業務が発生するごとに、細かな監視をしていたのでは通常業務に大きな支障をきたすからです。故にこの要求事項を考える場合、「通常業務の負担にならない事」を大前提として各部署で話し合いましょう。しかし、最低限の日常の記録は必要ですので、その記録の取り方を工夫してみましょう。チェックリストやタイムカードなどを活用すると負担が少なくなります。

※引用：JIS Q 15001:2006

【解説】
　3.6は、本人から苦情や相談があった場合の対応手順を要求しています。企業は、適切で迅速な対応を行うために、対応手順を作成し、体制を整え無ければなりません。また、「苦情や相談」などは、「開示請求」と同じで頻繁に依頼があるものではありません。故に、注意事項として、長期間にわたって苦情及び相談が無い場合、「当社は全く無い」と結論付けず、定めた手順がうまく機能しておらず、責任者まで上がってこない事が無いか疑ってみる必要があるので最低年1度確認してみましょう。Pマークの審査では苦情の宛先（苦情窓口）や、苦情相談対応手順、代表者に報告される手順などを確認されます。

※引用：JIS Q 15001:2006

【解説】
　3.7.1は、日常的な運用確認により不適合を早期に発見し、個人情報取り扱い事故の芽を摘むことを想定した要求事項になります。 この要求事項はそれほど大変なものではありません。ポイントは、ルールの確認を行う事で、業務に支障をきたさないかどうかを確認する事です。故に、取り扱う場面を注視するといったような確認でもOKです。また、この様な確認の記録を残すかどうかは、企業の判断に任せられますが、最低限以下の記録を残し定期的に確認する事が必要になります。

■　最終退出時の社内点検（施錠確認等）の記録
■　最初に出社した人と最後に退社した人の記録　
■　個人情報を格納した情報システムへのアクセスログ (すべてで無くて良い）

また、Pマークの審査時には、各階層ごとのPMSの適切な運営の定期的な確認手順が確認されます。