~内部規定の作成(第1回)~
前回は、一番の上位規程である「個人情報保護基本規程」(個人情報保護マニュアル)について示した。
今回から、JISの規格で作成が求められている「内部規定」につき順番に述べてゆく。 次の資料を手元に置いて、常に参照しながら本稿を読み進んで頂きたい。
- JISQ 15001:2006 個人情報保護マネジメントシステム-要求事項
- 個人情報保護マネジメントシステム実施のためのガイドライン
- 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
その際、「個人情報保護マネジメントシステム実施のためのガイドライン」(以下、「実施ガイドライン」と呼ぶ)の各項目の中の「文書の作成」に示された手順を基本に、貴社の業務実施の手順を具体的に、いわゆる5W1Hを意識して作成することが肝要である。
a)個人情報を特定する手順に関する規定
この規定は“JIS 3.3.1個人情報の特定”の要求事項に基づくものである。
① 特定する個人情報の範囲の認識のために
ⅰ) 個人情報とは
具体的な規定(手順書)の作成について述べる前に、「個人情報」について振り返っておく。
個人情報に関する定義(言葉の使い方)は、「個人情報保護法」での定義と「JIS Q 1501:2006」の定義とでは、若干違いがあることを認識しておかないと混乱することになる。
「個人情報保護法」と「JIS Q 15001」に出てくる言葉としては下記がある。
先ず、“個人情報”の「個人情報保護法」での定義は;
――生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)。――であるが;
「JIS Q 15001」では“生存する”という言葉が削除されており、死者の個人情報も含む定義となっている。
他に、「個人情報保護法」では、「個人データベース等」「個人データ」「保有個人データ」を定義しているが、「JIS Q 15001」では「開示対象個人情報」だけを定義している。
すなわち、「JIS Q 15001」では個人情報に関して“データ”という言葉は使用していない。
「開示対象個人情報」の内容は「保有個人データ」とほぼ同じであるが、死者の個人情報や、六ヶ月以内に消去される個人情報の取扱い、また定義の言葉の表現が多少異なる。
「JIS Q 15001」の「開示対象個人情報」の定義は以下のとおり。
――個人情報を電子計算機を用いて検索することができるように体系的に構成した情報の集合物又は一定の規則に従って整理、分類し、目次、索引、符合などを付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報であって、事業者が、本人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の求めのすべてに応じることができる権限を有するもの。―
ⅱ) 特定し、登録する個人情報
ここで特定しなければならない“個人情報”とはJIS Q 15001:2006の定義に基づく個人情報である。
すなわち、生存していない個人(歴史上の人物は除く)の情報を含むこと、検索性を有するように整理、分類し、目次、索引、符合などを付されていない個人情報も含めて全て特定することが求められている。
また、“個人情報”は“当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)”であるから、貴社が保有する、例えば“氏名”を含む文書(紙か電子的なものかは問わず)は全て、漏れなく特定することが求められている。
しかし、特定した個人情報をどのように台帳化して、登録するかについては“ⅳ) 台帳に記載すべき管理項目は”を参照のこと。
ⅲ) 特定する目的は
ここでは“個人情報”を特定し、台帳(以降「個人情報管理台帳」)に登録し、管理下に置くことが求められており、その為の個人情報を特定・登録する手順に関する規定の作成が求められている。
先ず、手順を述べる前に、「個人情報管理台帳」について述べておきたい。
「個人情報管理台帳」はJIS解説3.2.1や経済通産省ガイドライン2-2-3-2には、「個人情報 (データ)の取扱い状況を一覧できる手段の整備」として作成することが要求されているものである。
すなわち、現在どのような個人情報を保有しており、その取扱い状況(管理の状況)はどうなっているかを一覧できるようにしておく台帳である。
ⅳ) 台帳に記載すべき管理項目は
台帳に記載する内容としては、JIS解説3.2.1 には“個人情報の名称”を軸に“取得する項目、(明示・公表等を行った)利用目的、保管場所、保管方法、アクセス権限を有する者、利用期限”、等が例示されており、経済通産省ガイドラインでは“その他個人データの適正な取扱いに必要な情報”の記載も求めている。
“その他個人データ(情報)の適正な取扱いに必要な情報”としては、保有する個人情報の“件数”やその個人情報が“開示対象個人情報”か否かの区別、“提供や委託の有無”“廃棄方法”等々、貴社が個人情報を管理してゆく上で必要とする項目を記載すると良い。
上記、“ⅱ) 特定し、登録する個人情報”にて、貴社の取扱う個人情報を、漏れなく特定し、台帳に登録することを述べたが、全ての個人情報を同じ台帳(個人情報管理台帳)に登録して、同じ管理項目を設定して管理を行なわなければならないか、という点であるが、自ずと、社内で作成した個人情報を含む文書等、定型的な管理で良い物もあり、必ずしも「個人情報管理台帳」に全ての個人情報を登録して管理を行なうのではなく、より簡素化された台帳で管理を行なうことも考えられる。
要は、「個人情報 (データ)の取扱い状況を一覧できる手段」として、夫々の個人情報を含む文書(電子的なものを含む)の性格を考え、夫々に合った管理を行なえる台帳を作成すればよい。
② 個人情報を特定する手順
「実施ガイドライン」に示された事項については、ここでは重複して述べないので、まず「実施ガイドライン」を読み、以下を読み進めてほしい。
新しく、個人情報保護マネジメントシステムを構築しようと考えている貴社の場合は、(イ)“手持ちの個人情報” を調査し、特定して「個人情報管理台帳」に登録してゆく 手順と、(ロ)今後新しく個人情報の取扱いを始める場合に個人情報を特定して「個人情報管理台帳」に登録してゆく手順、を定めることが必要である。
(イ)“手持ちの個人情報”を調査し、特定して台帳に登録してゆく手順
手順としては、貴社が今回始めてPMSを構築する場合は、現在手持ちの個人情報を漏れなく特定し、「個人情報管理台帳」に登録してゆくための手順を規定する。
更に、手順を規定するだけでなく、決められた手順に基づき、貴社の保有する個人情報の調査を行い、漏れなく特定し、「個人情報管理台帳」に登録して行くことが必要である。
手順としては、個人情報を“漏れなく特定”するために、貴社の業務や組織、情報システムの状況等を勘案して、手順を策定することが必要である。
この時、単純に身の回りやロッカー/キャビネット、サーバーやPCの中の文書を片端から調べてリストアップするだけでなく、業務の手順(フロー)を見直し、不要な業務や、それに伴う個人情報を含む文書を整理して行くことも大切である。(ビジネスプロセスの見直しの実施)
漫然と保管していた個人情報を含んだ文書はこれを機会に廃棄することをお勧めする。
個人情報は持っているだけでリスクを増大させることに留意すべきである。
また、利用期限は、本来はその個人情報を利用する期限を定めるものであるが、企業の中で保有(保存)する期限も考え、利用期限と保存期限に分けて考えてゆくことも必要である。
利用期限とは、事務所内のロッカーに保管して日常的に利用する期限であり、保存期限は、保存文書として倉庫に長期保存する概念で整理すると良い。
利用期限が事前に定められないことも考えられるが、“永久”等とせず、ある期限を定め、その時点で確認し、まだ利用を継続する場合は期限を延長する等の処置を講ずるのが良い。
保存期限としては、企業の業務上の都合もあるが、法的な要求もあるので注意が必要である。
例えば、法人税法により会計関係の書類は7年間の保存が、健康診断の結果の書類は労働安全衛生法/労働安全衛生規則により5年間の保存が要求されており、また労働基準法では退職者のものも含め、労働関係に関する重要な書類は3年間保存することを要求している。
(ロ)今後新しく個人情報の取扱いを始める場合に個人情報を特定して台帳に登録してゆく手順
次に、今後新たに発生する個人情報のための手順を作成する。
この手順は後日の回で述べる予定の“f) 個人情報の取得、利用及び提供に関する規定”とも関連した規定となる。
個人情報の取得の形態としては「本人から直接書面によって取得する場合(JIS 3.4.2.4)」と「個人情報を3.4.2.4(本人から直接書面による)以外の方法によって取得した(する)場合(JIS 3.4.2.5)」があるので、それぞれの取得時の業務手順を考えた“個人情報の特定の手順”が必要である。
新しく個人情報を取得することになるのは、新しい業務を開始する時等が考えられる。
その時の社内手続きの手順として、「本人から直接書面によって取得する場合(3.4.2.4)」「それ以外の場合(3.4.2.5)」の夫々において、先ず、社内で個人情報の取得(・利用・提供)について起案し、承認が得られてから個人情報の取得が始まるであろう。
そして、取得された(される)個人情報は「個人情報管理台帳」に登録され、管理される。
すなわち、社内での起案から「個人情報管理台帳」への登録までの手順を規定する必要がある。
このように、内部規程の“f) 個人情報の取得、利用及び提供に関する規定”における、“個人情報の取得”の手順とも関係してくるので、その中で、「本人から直接書面によって取得する場合(JIS 3.4.2.4)」と「個人情報を3.4.2.4(本人から直接書面による)以外の方法によって取得した(する)場合」の手順に「個人情報管理台帳」に記載・登録する手順までを含めて規定するのが良い。
後日の回で述べるが、“個人情報の取得”の手順としては、先ず社内で、「本人から直接書面によって取得する場合」及び「それ以外の場合」の夫々の場合の、個人情報の取得に対する申請書を作成するのが良い。
申請書の中身としては、取得の手順等に関する事項の他に、「個人情報管理台帳」に登録・記載するため、記載項目である「取得する項目、(明示・公表等を行った)利用目的、保管場所、保管方法、アクセス権限を有する者、利用期限、また、保有する個人情報の“件数”やその個人情報が“開示対象個人情報”か否かの区別」等も含めて申請書に記載して、同時に承認を得られるようにしておくと良い。
(ハ)「個人情報管理台帳」の見直しの手順
次に、「個人情報管理台帳」の内容の定期的な確認による最新状態の維持が求められているので、「個人情報管理台帳」の定期的な見直し、更新の手順を定めておくことが必要である。
(中小企業診断士 中村 隆昭)