プライバシーマーク入門講座(連載:第21回)
2007/12/01 土曜日 20:54:05 JST
 「個人情報保護マネジメントシステム」の構築に向けて(第16回)
   ~内部規定の作成(第13回)~


j)個人情報保護マネジメントシステム文書の管理に関する規定

 "JIS 3.5個人情報保護マネジメントシステム文書"に規定された事項である。
 この場合の"文書"の広義の定義としては、記録も含まれることに留意すること。
 企業においては、「文書管理規程」を持っているところも多いと思う。
 また、マネジメントシステムとしてISMS(ISO- 27001)、ISO-9001 や 14001においても文書や記録の管理を要求しており、それらと個人情報マネジメントシステムにおける「文書と記録の管理」に関する規程を1体化して作成することも考えられる。
 この項では、まず、個人情報保護マネジメントシステムの基本となる要素を書面で記述することが求められている。
 先ず、書面=文面=文書と捉えて良いし、また、文書としては必ずしも「紙媒体」である必要は無く、電子媒体やコンピュータのファイルでも良く、イントラネットに掲載することでも問題は無い。
 しかし、この場合、閲覧性と承認の証跡をどのように残すかは十分に検討を行なっておく必要がある。
 特に承認の証跡については、グループウェアのワークフローを使用する場合は、そこで承認の証跡を残すことができるが、単なるファイルとしてサーバーに置いておくだけでは、しかるべき権限者の承認を得たものであることを証明するのは難しい。
 紙の原本を保管し、その上に承認の証跡を残し、日常的な閲覧はイントラネットに掲載されたもので行なう等の方法もある。
 最低限文書化しなければならないものがJIS3.5.1に示されているので、それらは全て文書化することが必要である。
 ここでは特に「管理文書一覧表」や「管理記録一覧表」のようなものを作成することは要求されていないが、PMSの範囲に含まれる(PMSとして管理の対象とする)文書や記録を明確に規定し、それらの管理を行なう上においては、自ずと必要となるものである。

 詳細の要求事項は、3.5.2には文書管理、3.5.3には記録の管理として分けて規定されている。
 3.5.2には狭義の文書の意味での文書管理について示されている。
 文書管理として、文書の発行、改定、版数管理、参照、等々について規定する。
 文書の発行や改定の手順の中には、文書の確認(点検、照査)と承認の責任と権限も明記すると良い。
 次に、3.5.3記録の管理について規定する。
 記録もその保管・保護、保管期間や廃棄等の手順やその責任者等も含めて規定すると良い。
 特に、PMSの運用に伴って作成される記録類には個人名が記載されるものが多々ある。
 これらも個人情報として漏れなく特定し、記録の管理という面からだけでなく、保有する個人情報を含む文書として、管理の対象とすることが必要である。
 台帳(一覧表)にはこれら2つの目的を達成できるような管理項目を設定し、「管理記録一覧表」と「個人 情報管理台帳」を兼ねた台帳として作成するのもよい方法である。
 記録として維持すべき最小限のものがJISの解説の3.5.3に列挙されているので参照すること。

k)苦情及び相談への対応に関する規定

 "JIS JIS3.6苦情及び相談への対応"に規定された事項である。
 この苦情及び相談への対応と"JIS3.4.4個人情報に関する本人の権利"とを同じ規定の中で同じ手順で扱っている例が見受けられるが、"JIS3.4.4個人情報に関する本人の権利"に要求された事項への対応とは、"本人の当然の権利として要求を受けた事項に対して、それに応じて行く"ということであり、本人が苦情を抱いていることを前提とはしていないので(心の中に不審を抱いていて、それを開示により確認し、改めて苦情を申し出ることはあるかもしれないが)苦情の受付けとは全く異なったものであることを理解すべきである。
 苦情及び相談において、特に苦情は貴社の個人情報の取扱いに対する明らかな不満であり、相談はその予備軍と考えるのが良い。
 また、苦情は、貴社の提供するサービスや製品に係る苦情の中に含まれていたり、貴社が提供する製品やサービスへの苦情が個人情報の取り扱いに対する苦情として表れてきたり、逆に製品やサービスへの苦情の裏に個人情報の取扱いに関する苦情が隠れている場合も考えられ、特に顧客からの苦情への対応には注意を要する。
 "JIS3.6苦情及び相談への対応"では"個人情報の保護に関連しての苦情"についてだけが規定されているが、貴社へ寄せられる、あらゆる種類の苦情の受付の体制を整備する中で、個人情報の保護に関連した苦情を峻別し、適確に対応して行けるような規定を作成するのが良い。

 貴社の提供するサービスや製品に係る苦情の受付窓口や担当者が、個人情報に関するものと異なる場合は、社内の情報の交換がスムースに行われるような体制を構築し、本人に「たらいまわしにされている」というような感じを与えて、不満を増幅させることが無いようにしておくべきである。
 苦情の受付けは改善の機会と考え、より大きな苦情を受けないための改善の実施ができる機会と考えるべきである。
 苦情への対応が悪いとエスカレートして、業界団体(認定個人情報保護団体)、消費者センター、消費生活センター、国民生活センター等や更には所轄官庁やJIPDECへ訴え出るケースも実在する。
 「苦情及び相談への対応に関する規定」としては、本人から直接寄せられる苦情・相談だけでなく、上記のような第三者機関を通しての苦情・相談に対しても対応できるように、その手順も含めて置くと良い。

 JIS3.6の中で要求されている事項としては、本人からの苦情及び相談を受け付けて、適切、かつ迅速な対応を行なう手順を確立すること、またこの目的を達成するために必要な体制の整備を行なうこと、がある。
 先ずは、個人情報に関する「苦情及び相談」を受け付ける窓口を明確にして、公表を行ってゆくことが必要である。その上で、社内での処理手順やそこで使う様式、責任と権限等を明確に規定する。
 苦情を抱いた人にとって、それをどこに持ち込んだら良いかが分からないだけでもいらいらして、苦情が増幅することになる。
 「苦情及び相談を受け付ける窓口」は明確に、分かり易く公表すべきである。
 苦情及び相談を受けての処理であるが、事実の確認から始まる。
 些細と考えられた事項も、非常に大きな問題に結びつくことがある。

 苦情の内容として、「自分の個人情報が使われて、変な問合せが有ったが、貴社から個人情報が漏れた形跡がある(住所や氏名にひと文字マークとなるものを入れておき、どこに提供したものかが分かるようにしている人もいると聞く)」と言った場合、裏には非常に大量の個人情報の漏えい事故が潜んでいるかもしれない。
 苦情及び相談業務においては、エスカレーションのルールを明確に定めておくことも重要である。担当者から個人情報保護管理者、さらには経営者までエスカレートさせなければならないこともある。
 次に、本人に対して回答を行なう前に、個人情報保護管理者の承認を得ることも必要である。
 また、苦情や相談の内容及び対応結果を代表者に報告することも必要であり、問題が大きな場合は、対応の完了後ではなく、逐次、代表者と相談を行なうことが必要であろうし、小さなものは纏めて「代表者による見直し(マネジメントレビュー)」で報告する方法もある。
 個人情報保護法の施行を受けて、クレーマーと呼ばれる人が、個人情報の取扱いに絡めて苦情を寄せることもある。これらについても処理を誤ると大きな問題となるので、その場合の手順も考えておくことが望ましい。

        (中小企業診断士 中村 隆昭)