プライバシーマーク入門講座(連載:第8回)
2007/09/01 土曜日 14:06:02 JST
 「個人情報保護マネジメントシステム」の構築に向けて(第3回)
  ~個人情報保護マネジメントシステムの構成~

前回、“PMSには次の3つのものが含まれていなければならない”と述べたが、それを図にした「個人情報保護マネジメントシステム(PMS)の構成の概念」を示す。
  •  JISの要求事項に基づく、貴社の内部規定
  •  法律や規範(ガイドライン)等の要求事項に基づく貴社の内部規定
  •  リスク分析の結果として、貴社が実施することを決めた安全管理策の規定
pm-8-1.gif
 次に、PMSを構成する文書の全体像を示す。
  pm-8-2.gif
  PMSを構築するためには、上図に示したような、規定、手順書、様式等を作成する。
この中で、JIS規格の3.3.5で要求される「内部規定」だけでなく、「内部規定」の上位の規定として、貴社のPMS全体の考え方を示した、例えば、「個人情報保護基本規程」(個人情報保護マニュアル)を作成する。
  これは、ISOの経験者にはISO-9001における“品質マニュアル”に相当するものと考えて頂けば分かりやすい。
JIS Q 15001には、このような、「個人情報保護基本規程」(個人情報保護マニュアル)を作成する要求事項は無いが、実質上必要なものである。
 「 個人情報保護基本規程」(個人情報保護マニュアル)の下位文書として作成される「内部規定」は手順書に相当するもので、内容としては、手順書を構成するいわゆる5W1Hを考えながら具体的な業務の実施手順として規定する。
  「内部規定」の作成においては、実施を行い、記録として維持するための「様式」も同時に作成する。

「個人情報保護基本規程」(個人情報保護マニュアル)について

 「個人情報保護基本規程」には、「JIS Q 15001:2006個人情報保護マネジメントシステム―要求事項」をベースに、規格の要求事項を貴社としてどのように考え、実施してゆくのかの概要を記述する。
 すなわち、「内部規定」の上位規程として、全体的な貴社の考え方や基本的取り組みを示す。
 同時に、貴社の“個人情報の保護に対する理念”を現した「個人情報保護方針」を制定する。
 「個人情報保護方針」は独立した文書としても良いし、「個人情報保護基本規程」に取り込んでも良い。
 また、作成が要求されている個別の「内部規定」については、夫々の記述するボリューム等も勘案して、文章量の少ないものは別の文書として個々の規定を作成せず、その内容を「個人情報保護基本規程」の中に盛り込んでも良い。
 JISの要求事項の中で貴社の業務において適用する場面が全く考えられない要求事項や、貴社が実施しないことを宣言して明確にしている事項に対しては、その理由を明確にして、その旨を「個人情報保護基本規程」の中で明記し、詳細の実施手順については該当する事項が発生した時に規定して実施することで良い。
 「内部規定」の作成が要求されている項目については、詳細の手続きや手順を、いわゆる5W1Hを盛り込む形で具体的な手順として記述する。
 これは、業務の実施における責任と権限を明確にする上においても重要である。

 貴社が遵守しなければならない“個人情報の取扱いに関する法令、国が定める指針その他の規範”については、公開されている情報から貴社への適用が要求される“個人情報の取扱いに関する法令、国が定める指針その他の規範”を特定し、特定された“個人情報の取扱いに関する法令、国が定める指針その他の規範”にて要求される内容を精査して、その中で貴社が遵守しなければならない要求事項(項目)を特定し、それを遵守するための手順等も「内部規定」の中に盛り 込んでゆくことが必要である。

 「内部規定」としては図中にあるように、15の規定を作成することが要求されている。
 これらの規定は、上記のように「個人情報保護基本規程」の中に盛り込むことができれば、盛り込んでも良いが、それを読んで、実際の業務を適確に実施できる程度の詳細さで、いわゆる5W1Hを意識して、作成することが必要である。
 次回から、個々の内部規定の作成について述べる。

(中小企業診断士 中村 隆昭)