このエントリーをはてなブックマークに追加 LINEで送る

naibukitei

こんにちは、暖かくなったり寒くなったりの繰り返しですが、体調を崩したりはしていませんでしょうか。

個人情報保護マネジメントシステムを作りたいけれど、どうやればいいのかよく分からない…という方のために、今回は個人情報保護マネジメントシステム構築のための「内部規程」についてお話していきます。

内部規程に関する要求事項

JISQ15001:2006要求事項では、下記のことが求められています。

事業者は、次の事項を含む内部規程を文書化し、かつ、維持しなければならない。

a) 個人情報を特定する手順に関する規定
b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
c) 個人情報に関するリスクの認識、分析及び維持に関する規定
d) 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
e) 緊急事態(個人情報が漏洩、滅失又は棄損をした場合)への準備及び対応に関する規定
f) 個人情報の取得利用及び提供に関する規定
g) 個人情報の適正管理に関する規定
h) 本人からの開示等の求めへの対応に関する規定
i) 教育に関する規定
j) 個人情報保護マネジメントシステム文書の管理に関する規程
k) 苦情及び相談への対応に関する規定
l) 点検に関する規定
m) 是正処置及び予防処置に関する規定
n) 代表者による見直しに関する規定
o) 内部規程の違反に関する罰則の規定

事業者は、事業の内容に応じて個人情報保護マネジメントシステムが確実に適用されるように内部規程を改定しなければならない。

引用:日本規格協会 『JISQ15001:2006―個人情報保護マネジメントシステム要求事項』

すこしわかりにくいですが、「a)~o)の事項について、手順と管理方法を決めましょう」と言われています。

内部規程策定のコツ

例えば、a)の「個人情報の特定する手順」の定め方でしたら、下記のような方法が考えられます。

  • 【どうやって】 部署毎に、どのような情報を取り扱うのか「個人情報一覧表」を作成する。
  • 【いつ 】 年に1度(○月)に、個人情報保護管理責任者が見直しをする。
  • 【見直し方法】 部署毎に作成した、「個人情報一覧表」を用いて、現状に合っているかを見直す。

内部規程は、形式的に定めるだけでなく、自社にはどのような方法が最適なのかを考えつつ、策定していくことがポイントになります。

チェックリスト一つとっても、要求事項を満たすのは勿論ですが、どのようなフォーマットが見やすい&見直しやすいか(扱いやすいか)を考えたり、見直し月も、繁忙期でとても手が回らないような時期にせず、余裕を持って計画を進められる時期を設定することが大切です。

そして、ルールとして決めた事柄を文書化する必要があります。解説では、文書化(ルールを明文化)することにより、担当者の変更があったり、新しくジョインした人が見ても分かりやすく、保護のレベルが一定に保たれる、とされています。ですので、規程策定の段階で、「分かりやすい」かつ「運用できる」ルールを作成しておくことが重要となります。

また、ルールに関しては、以前ご紹介した「リスクの分析」をしっかりとやっていることが大切です。なぜなら、どのような対策を立てれば良いのかが明らかなので、リスク分析に力を入れていれば、明文化が容易になるためです。

さらに、この内部規程は必ず一つにまとめなければいけないということはありません。例えば、運用面/安全管理面/例外措置マニュアル等、必要なものがすぐにピックアップできるように、複数冊に分けたりしても良いでしょう。罰則については、「違反したら懲戒とする」等の文言は、就業規則と代用することも可能です。

個人情報保護マネジメントシステムに関する規程として、バラけて仕舞わないよう一冊にまとめるのも有りです。要は、自社の体制に最もベストなのはどんな形であるかという点を追求していきましょう。

以上が内部規程についてでした。どのようなことをしなければならないのか、ふんわりでも掴んでいただけましたでしょうか。

では~。

このエントリーをはてなブックマークに追加 LINEで送る

内部規程って何?概要と策定のコツをお教えします!

カテゴリー: プライバシーマーク

naibukitei

こんにちは、暖かくなったり寒くなったりの繰り返しですが、体調を崩したりはしていませんでしょうか。

個人情報保護マネジメントシステムを作りたいけれど、どうやればいいのかよく分からない…という方のために、今回は個人情報保護マネジメントシステム構築のための「内部規程」についてお話していきます。

内部規程に関する要求事項

JISQ15001:2006要求事項では、下記のことが求められています。

事業者は、次の事項を含む内部規程を文書化し、かつ、維持しなければならない。

a) 個人情報を特定する手順に関する規定
b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
c) 個人情報に関するリスクの認識、分析及び維持に関する規定
d) 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
e) 緊急事態(個人情報が漏洩、滅失又は棄損をした場合)への準備及び対応に関する規定
f) 個人情報の取得利用及び提供に関する規定
g) 個人情報の適正管理に関する規定
h) 本人からの開示等の求めへの対応に関する規定
i) 教育に関する規定
j) 個人情報保護マネジメントシステム文書の管理に関する規程
k) 苦情及び相談への対応に関する規定
l) 点検に関する規定
m) 是正処置及び予防処置に関する規定
n) 代表者による見直しに関する規定
o) 内部規程の違反に関する罰則の規定

事業者は、事業の内容に応じて個人情報保護マネジメントシステムが確実に適用されるように内部規程を改定しなければならない。

引用:日本規格協会 『JISQ15001:2006―個人情報保護マネジメントシステム要求事項』

すこしわかりにくいですが、「a)~o)の事項について、手順と管理方法を決めましょう」と言われています。

内部規程策定のコツ

例えば、a)の「個人情報の特定する手順」の定め方でしたら、下記のような方法が考えられます。

  • 【どうやって】 部署毎に、どのような情報を取り扱うのか「個人情報一覧表」を作成する。
  • 【いつ 】 年に1度(○月)に、個人情報保護管理責任者が見直しをする。
  • 【見直し方法】 部署毎に作成した、「個人情報一覧表」を用いて、現状に合っているかを見直す。

内部規程は、形式的に定めるだけでなく、自社にはどのような方法が最適なのかを考えつつ、策定していくことがポイントになります。

チェックリスト一つとっても、要求事項を満たすのは勿論ですが、どのようなフォーマットが見やすい&見直しやすいか(扱いやすいか)を考えたり、見直し月も、繁忙期でとても手が回らないような時期にせず、余裕を持って計画を進められる時期を設定することが大切です。

そして、ルールとして決めた事柄を文書化する必要があります。解説では、文書化(ルールを明文化)することにより、担当者の変更があったり、新しくジョインした人が見ても分かりやすく、保護のレベルが一定に保たれる、とされています。ですので、規程策定の段階で、「分かりやすい」かつ「運用できる」ルールを作成しておくことが重要となります。

また、ルールに関しては、以前ご紹介した「リスクの分析」をしっかりとやっていることが大切です。なぜなら、どのような対策を立てれば良いのかが明らかなので、リスク分析に力を入れていれば、明文化が容易になるためです。

さらに、この内部規程は必ず一つにまとめなければいけないということはありません。例えば、運用面/安全管理面/例外措置マニュアル等、必要なものがすぐにピックアップできるように、複数冊に分けたりしても良いでしょう。罰則については、「違反したら懲戒とする」等の文言は、就業規則と代用することも可能です。

個人情報保護マネジメントシステムに関する規程として、バラけて仕舞わないよう一冊にまとめるのも有りです。要は、自社の体制に最もベストなのはどんな形であるかという点を追求していきましょう。

以上が内部規程についてでした。どのようなことをしなければならないのか、ふんわりでも掴んでいただけましたでしょうか。

では~。

Author: lrmcorp
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする