「Pマーク規格をわかりやすく解読する」シリーズの2回目は、「A.3.2 個人情報保護方針」について見て行きたいと思います。
※今回利用する「Pマーク規格」とは、JIS Q 15001:2017を指します。
※用語の定義は、JIS Q 15001:2017によります。
Pマークでは、組織が個人情報保護の理念を「方針」として定め、「外部向け」と「内部向け」の個人情報保護方針を確立することが求められています。
JIS Q 15001:2006でも、個人情報保護方針を策定し、公表することが求められていましたが、JIS Q 15001:2017とは異なり、「外部向け」と「内部向け」をそれぞれ用意する必要はありませんでした。
A.3.2.1 内部向け個人情報保護方針
ここでは、個人情報の取得、利用及び提供、法令遵守、安全管理、緊急時、苦情及び相談、継続的改善などに対しての「方針」を策定します。
「内部向け」とは、従業員、委託先、協業相手などの取引先などといった利害関係者が必要に応じて入手することが可能な文書となります。
A.3.2.2 外部向け個人情報保護方針
「外部向け」とは、「内部向け」の個人情報保護方針に以下の事項を加え、Webサイトなどに公表したものになります。
- 制定年月日及び最終改正年月日
- 外部向け個人情報保護方針の内容についての問合せ先
JIS Q 15001:2006では、個人情報保護方針を策定し、公表することが求められていましたが、内部のみに公表している個人情報取扱事業者がいたため、JIS Q 15001:2017からは、明確に「内部向け」、「外部向け」を確立させました。
また、どこからか引用した形式的な個人情報保護方針が多く見受けられたことも「外部向け」といった形をとる一つの要因となりました。
JIS Q 15001:2017では、対外的に組織の宣言的な意味合いを持つ「外部向け」の個人情報保護方針であることが求められています。
「外部向け」の個人情報保護方針の表現は、Webサイトなどから確認した人が、容易に理解することが出来る表現であることが望ましいとされています。
![無料相談ダイヤル:[tel_free_consul]](https://www.lrm.jp/privacy-mark/blog/wp-content/themes/blog/images/f_tel.png){kind=small}