「プライバシーマークとは？」■第2回■

プライバシーマークの取得申請をする前に社内にコンプライアンス・プログラムを構築し、実際に運用し、その記録を残しておく必要がある。申請はそれからである。

コンプライアンス・プログラムと言うとなにやら難しく聞こえるがマネジメントシステムのことでJISでは『事業者が、自ら保有する個人情報を保護するための方針、組織、計画、実施、監査及び見直しを含むマネジメントシステム』と定義されている。簡単に言うと個人情報保護のためにPDCAサイクルが回るマネジメントシステムを構築しなさいということである。

JIS　Q15001として『個人情報保護に関するコンプライアンス・プログラムの要求事項』が定められている。つまり、この要求事項を満たすコンプライアンス・プログラムを社内に構築、運用ができればプライバシーマークを取得することができる。多くの企業では取り組み始めてから書類申請までに大体平均6ケ月から8ケ月ほどかかっている。ではその手順をみていく。

●STEP1：プライバシーポリシーの策定

プライバシーポリシー（個人情報保護方針）の策定をまず行う。プライバシーポリシー（個人情報保護方針）とは会社として個人情報保護の取り組みや個人情報の取り扱いについてポリシー（方針）を定め、内外に宣言するものである。またプライバシーポリシーはこの後、内部規定を見直していく基本方針になる。つまり個人情報保護に関する憲法のようなものである。

　　■プライバシーポリシー記載項目（例）
　　　1.当社の個人情報保護の考え方
　　　2.個人情報の利用目的
　　　3.個人情報の第三者提供
　　　4.個人情報の管理責任者
　　　5.個人情報に関する問合わせ先

作業は総務部門などが中心に行うが、この段階から各部署のキーマンを参画させておくと、後々の作業で部門調整が必要となった時にスムーズに行うことができる。また経営者が最終的に理解・チェックする必要がある。

個人情報に関する問合せ先は支店・営業店のレベルで対応していると大変なので本社に窓口を作る。顧客から問い合わせや開示請求があった時に本人確認をどう行うか、開示請求書の様式、請求の手段（郵送に限定等）、手数料をどうするか等、社内手続きについて検討し規定にしておく必要がある。

●STEP2：個人情報の特定

社内の一体どこに個人情報があるのか洗い出しを行っていく。この作業が一番大変になる。

サーバーから社員が個人情報を取り出し、自分のパソコンのハードディスクに入れているケースが多々ある。こうなると本人でないと分からない。また個人情報はデジタル情報とは限らない。社員の机やキャビネットに入っている紙の台帳も対象となる。全社員や部門単位に調査票を配り、記入してもらうところから始める。

水谷IT支援事務所・所長、AllAbout「企業のIT活用」ガイド　水谷哲也
http://allabout.co.jp/career/corporateit/

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd