個人情報保護方針とは?法令遵守とプライバシーマーク認証に作成必須!

この記事は約7分で読めます。

個人情報保護方針は企業のホームページなどで目にすることが多いです。個人情報保護方針はどんな場合に必要となり、どのような内容が求められるのでしょうか。

この記事では組織における個人情報保護方針とは何か、興味のある方のためにその概要を紹介しています。

訪問回数無制限! 認証取得100%!

個人情報保護方針とは

個人情報保護方針とは、事業者が個人情報をどう取り扱うか取り決めた文書を指します。ここでは法律上必要な基本方針と、さらに高度なプライバシーマーク(Pマーク)認証取得に必要な個人情報保護方針について解説します。

法律上必要な「基本方針」

個人情報保護法では基本方針(個人情報保護方針)の作成が必要になりました。

ただ、ガイドラインにあるとおり『基本方針を策定することが重要』とされ、特に内容の指定はありません。
なお、法律上、作成が望ましいとされる内容については後述します。

プライバシーマーク取得に必要な個人情報保護方針

プライバシーマーク(Pマーク)を取得するためには、法律で定められているより、もっと高度な個人情報の取り扱いが必要になります。
Pマーク規格の「JIS Q 15001:2017」では取得要件の一つに、個人情報保護方針の策定・公表があげられています。また法律とは異なり、策定すべき内容も決められています。

さらに「内部向け(従業員・委託先など)」「外部向け(顧客・一般の方)」の2種類を策定しなければなりません。ただし外部に公表する文書は、関係者でなくても読んですぐに理解できる表現にします。なお、内部向けと外部向けの文書は同じ内容でもかまわないとされています。

プライバシーマークとは

ここで、個人情報保護方針の策定を一つの要件とするプライバシーマーク(Pマーク)の規格について紹介します。

プライバシーマーク(以下Pマーク)とは個人情報の管理に関する認証規格です。個人情報の管理体制が整備されていると認定された事業者に与えられます。Pマークは国内で知名度が高く、認証取得により、個人情報の適切な取り扱いができることを対外的に証明できます。

Pマーク認証を取得するには第三者機関の審査をパスしなくてはなりません。審査では日本産業規格の「JIS Q 15001」に適合しているかどうかが判斷されます。なお、Pマーク認証の有効期間は2年間で、2年ごとに更新審査があります

プライバシーマーク(Pマーク)取得のメリット

Pマークの認証取得で得られる主なメリットには以下があります。

  • 対外的な信用獲得
  • 取引の維持・拡大
  • コンプライアンス違反のリスク低減

Pマークは国内で認知度が高く、対外的な信用獲得やイメージアップが期待できます。また既存契約の更新や、官公庁/大企業との取引条件にしっかりした情報管理体制を求められる場合があり、Pマークを取得していればその証明となります。個人情報漏えいなど、事業に大きな影響を与えるコンプライアンス違反のリスクを大きく低減します。

国内外で個人情報に関するルール強化がトレンドになっています。管理体制の構築とPマークの取得は安定的な事業運営の基盤の一つとして、整備を検討することをおすすめします。

個人情報保護方針には内部向けと外部向けが存在

はじめの章で説明したとおり、基本方針(個人情報保護方針)の作成は法律で義務づけられており、さらにPマーク取得にあたっては規定の内容を策定しなくてはなりません。

なおPマークの取得のためには、「内部向け」「外部向け」の2種類の個人情報保護方針の策定が必要です。ここではPマークの規格に基づき、この2種類の個人情報保護方針に必要な内容をそれぞれ説明します。

内部向け個人情報保護方針の内容

内部向けの個人情報保護方針とは組織の内部や利害関係者を対象とします。個人情報の適切な取り扱いや、コンプライアンス遵守、対外対応、体制整備など、必然的に包括的な内容になります。

法令上望まれる内部向けの基本方針とは

個人情報保護法における「基本方針(個人情報保護方針)」の内容は、特に指定がないため各々の事業者が任意に作成します。

なお、個人情報保護法のガイドラインでは望ましい内容の例として「関係法令・ガイドライン等の遵守」「安全管理措置に関する事項」をあげています。事業者の実情に応じて、必要な項目を追加し内容を適宜整えましょう。

プライバシーマーク取得に必要な内部向け個人情報保護方針とは 

Pマークの規格「JIS Q 15001」では、トップマネジメント主導による個人情報保護方針の確立が求められています。そして、最低限必要とされる内容が定められており、具体的には以下の6つを含めなくてはなりません。

  1. 適切な個人情報の取得や利用、提供、目的外利用の排除とそれに対する措置
  2. 個人情報の取り扱いに関する法令、ガイドライン、その他の規範の遵守
  3. 個人情報の漏えいや滅失、き損に関する防止や是正
  4. 苦情および相談の対応
  5. 個人情報保護マネジメントシステムの継続的改善
  6. トップマネジメント(※)の氏名

※代表権を持つ代表取締役や社長等

以下に簡単に補足します。

aは規格の条文をそのまま記載せず、また目的外利用における措置とは「あらかじめ本人に通知し同意を得る」対応をする旨を記載します
また上記に加えて、内部向け個人情報保護方針を組織内に周知するほか、従業員や委託先企業、協業相手などの取引先が必要に応じて入手できる措置を講じなくてはなりません。

外部向け個人情報保護方針の内容

外部向けの個人情報保護方針は組織に属さない者、たとえば顧客や取引先、事業形態によっては広く一般の人々も対象とします。そして、外部の人向けの問い合わせ先や、正式文書で必須の日付の記載が求められます。

法令上望まれる対外的な基本方針とは

個人情報保護法35条には苦情の適切かつ迅速な処理と、そのための体制を整備する努力義務規定があります。個人情報の保護に関する考え方や方針(プライバシーポリシー、プライバシーステートメント等)を公表するのが望ましいとされます。

個人情報保護法のガイドラインでは例として、内部向け方針に加え、以下の項目をあげています。

  • 事業者の名称
  • 質問及び苦情処理の窓口

また、外部向け基本方針はホームページや店頭、事業所内等に掲示しましょう。

プライバシーマーク取得に必要な外部向け個人情報保護方針とは

Pマークの規格「JIS Q 15001」では、外部向け個人情報保護方針の内容を以下のように定めています。

  • 内部向け個人情報保護方針の各事項
  • 制定年月日および最終改正日
  • 個人情報保護方針の内容についての問い合わせ先

そしてトップマネジメントは外部向け個人情報保護方針を一般の人が知り得る状態にして、さらに一般の人が入手可能な措置を講じなければなりません。これはつまり、内容を平易な表現とすること、入手手段の整備(ホームページの掲載、拠点窓口における配布、要望に応じて郵送する等)を意味します。

外部向け個人情報保護方針の一例

最後に、外部向けの個人情報保護方針の事例を紹介します。
以下はシンクタンクの三菱総合研究所が公開している個人情報保護方針です。

  1. 個人情報の管理
  2. 個人情報の取得および利用
  3. 個人情報の提供
  4. 個人情報の外部委託
  5. 個人情報の安全対策
  6. 個人情報の苦情・相談への対応
  7. 個人情報の取扱いに関する法令、国が定める指針、その他の規範の遵守
  8. 個人情報保護マネジメントシステムの継続的改善
  9. 個人情報に関する問い合わせ先

必要最小限の簡素な内容ですが、Pマーク認証を取得している企業なので、規格の要件となる内容はすべて網羅されています。
Pマーク認証に必要な個人情報保護方針を策定する際は、事業内容や自社の事情に応じて適切な項目や内容を追加するといいでしょう。

まとめ

個人情報保護方針は法律で各事業者に作成が求められているほか、Pマーク認証取得において策定が必須となる文書です。個人情報取り扱いに関する法律遵守と対外的な信頼、またPマーク認証のためにも、個人情報保護方針をしっかりと構成し、運用していきましょう。

また、弊社ではPマーク認証取得/運用支援サービスを行っております。会社のスタイルに合わせ、自社で「運用できる」認証をこれまでに2,100社以上ご支援してまいりました。Pマーク認証取得にご興味のある方、運用でお困りごとのある方は、まずはお気軽に無料でご相談ください。

認証取得を目指すPマーク
LRM株式会社 画像
この記事を書いた人
ISMSやPマーク取得支援・情報セキュリティツールの導入支援を行っている情報セキュリティコンサルティング会社。また、情報セキュリティ向上クラウド「Seculio」の運営しています。
セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン
タイトルとURLをコピーしました