Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護 JISQ15001要求事項を読み解こう
プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
特集
特集
株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名 祐輔
http://rm.jmc.ne.jp/service/pm/column09.html
こんにちは。今回からシリーズとして、JISQ15001要求事項の解説をやっていきたいと思います。
初回は「要求事項番号3.2 個人情報保護方針」です。
解説に入る前に、要求事項そのもののおさらいをしておきましょう。Pマークを取るためには個人情報保護の規程を作る必要があります。その規程は、JISQ15001というJIS規格で要求されている内容を含む必要があります。従って、Pマークを取るためにはJISQ15001の内容を理解し、規格が要求していることを自社規程に含めなければなりません。
さて、規格要求事項番号の3.2番は、「個人情報保護方針」というタイトルです。
その名の通り、ここでは自社の個人情報保護方針を作ることを要求しています。そして要求事項を実現するにあたり、気をつけるポイントは3つあります。
まず1つ目として、方針にはJISQ15001で要求されている以下6つの内容を含める必要があります。
1.事業の内容及び規模を考慮した適切な個人情報の取得、利用、提供を行う旨
2.関連法規制を遵守する旨
3.個人情報の漏えい、滅失、き損の防止と是正に取り組む旨
4.苦情、相談に対応する旨
5.個人情報保護マネジメントシステムを継続的に改善する旨
6.代表者の氏名
これら1.〜6.について、具体的にどのような文言で書けばよいのかと悩むようであれば、既にPマークを取得している他社の方針を参考にしてみるのもよいでしょう。
続いて、2つ目のポイントは、方針を作るのは事業者の代表者のお仕事ということです。規格の本文を読んでみると、「事業者の代表者は〜」と始まっていることもあり、方針は事業者の代表者の考え方・意向を反映させることを要求しています。
3つ目のポイントは、完成した方針の社内・社外への公表です。せっかく作った方針を、たんすの肥やしにしてしまっては意味がありません。JISQ15001でも、以下のように公表することを要求しています。“従業者に周知させるとともに、一般の人が入手可能な措置を講じなければならない”皆様は方針をどのように公表しますか?社内への周知であれば、以下のような手段が考えられますね。
・社内の壁に貼る
・グループウェアに掲示する
・カードにして、社員証ケースに入れる
・毎朝唱和する
・入社時教育のカリキュラムに方針の解説を組み込む
一般への公表であれば、以下のような手段でしょうか。
・ホームページに掲載する(大部分の企業がこれですね)
・壁に貼る(個人相手の商売をしていれば、この手もよいかもしれません)
・依頼があった時にすぐ発送できるようにしておく
(HPがなければ、これもよいかもしれません)
個人情報保護方針についての要求事項は、以上になります。
ポイントをまとめると、以下のようになります。
・JISQ15001で明記されている6つの項目を含める必要がある
・事業者の代表者が作る必要がある
・社内と一般へ公表する
その他の注意事項ですが…
【執筆:浦名祐輔】
※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/column09.html
《ScanNetSecurity》