Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護
【個人情報保護方針について考えてみる−どこの会社も似たようなプライバシーポリシーになるのは何故?】
特集
特集
プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column02.html
今回は、個人情報保護方針の策定方法について考えてみたいと思います。
プライバシーマークを取得するためには、“個人情報保護方針”を策定しなければなりません。そもそも“個人情報保護方針”とは、JIS Q 15001の解説によると、「事業者の個人情報保護に関する取組みを内外に宣言する公的文書」と位置付けられています。社長が魂を込め、自分の言葉で作成し、自社の個人情報の取組みについて宣言するものです。
この方針は個人情報保護マネジメントシステム文書の最上位に位置付けられるものであり、個人情報保護に関する全ての活動は、この方針に沿って行われることになります。
つまり、本来方針とは自社のマネジメントシステムを運用するうえで指針となる、非常に重要なものなのです。
しかしながら、上記のように魂の込められた個人情報保護方針を作っている企業はごく少数のように思われます。試しに、プライバシーマーク取得企業の個人情報保護方針を見てみてください、ほとんどの企業が同じ内容の方針を作っているのが分かると思います。このような状況は非常に残念ですが、こうなってしまった理由は2つあると思います。
一つめの理由は審査における基準です。
少し前、1999年版のJISで審査が行われていたとき、個人情報保護方針は規格で定められている4項目が含まれていればOKでした。
自社の言葉を使わず、規格の裏返しで書いてもOKです。
このような前例ができると、他社が取得企業の方針を真似て自社の方針を策定し、結果的に同じような方針ばかりになってしったものと想定されます。
二つめの理由は取得企業側の姿勢です・・・
※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column02.html
《ScanNetSecurity》
