A.必要な内部規程内容
プライバシーマークを取得するためには、JIS Q 15001:2017要求事項を満たした、規定類を文書化し、運用している必要があります。
JIS要求事項では内部規程として、個人情報の特定から規定違反による罰則についてまでの以下のa)~o)の15項目を規定するように要求しています。
a)個人情報を特定する手順に関する規定
b)法令、国が定める指針その他の規範の特定、参照および維持に関する規定
c)個人情報保護リスクアセスメントおよびリスク対策の手順に関する規定
d)組織の各部門および階層における個人情報を保護するための権限および責任に関する規定
e)緊急事態への準備および対応に関する規定
f)個人情報の取得、利用および提供に関する規定
g)個人情報の適正管理に関する規定
h)本人からの開示等の請求等への対応に関する規定
i)教育などに関する規定
j)文書化した情報の管理に関する規定
k)苦情および相談への対応に関する規定
l)点検に関する規定
m)是正処置に関する規定
n)マネジメントレビューに関する規定
o)内部規程の違反に関する罰則の規定
B.PMS文書の構成
PMS文書の基本的な構成は以下のようになります。
①個人情報保護方針
②基本規程
JIS Q 15001:2017要求事項の全体を網羅した形の規程です。それぞれ要求事項に対する基本的な部分について記述します。
③内部規程
JIS Q 15001:2017要求事項の詳細事項について記述します。
④詳細手順書等
必要に応じて、業務ごとの具体的な内容を記述します。
⑤書式・様式
ポイント
- 内部規程を集約してひとつの個人情報保護マニュアル(名称は任意)として作成する。
- 要求事項の内容に加えて、手順などを追加した形式でまとめ上げる。
- 個人情報の取得や利用に関するものなど直接的なものについては個別に独立した規程をつくる。
- 顧客対応業務が複数となる場合で詳細な手順が必要な場合などには、顧客個人情報管理規程などの名称の規定を作成してその取扱いや安全管理について、各部門(業務)ごとの規程を作成する。
- 内部規程違反に関する罰則については、就業規則とリンクさせて対処する。
- 内部規程類の制定・改廃は一定の手続き(代表者承認など)を得るものとする。
- 内部規程類は従業者が参照できるよう文書の複製を設置または、PDFファイルなどにし閲覧しやすい状態に加工しておく。(改廃時の差し替え対応にも手間がかからない工夫が必要)
C.その他文書作成等の留意事項
文書を作成する場合には、運営後、色々な事項が追加・変更されることも想定しておくべきです。
文書に関しては、最新版と旧版の判別を容易にするために版数や文書番号の付与を行ないます。
これらに対応するため、管理担当者は、「Word」の見出し(索引・目次機能)やヘッダーフッターの機能を使うとより便利になるはずです。
自社の規模を考慮し、必要最低限のもの(作業レベルや文書量も)とするべきです。