Pマークで必要な文書とは
Pマークでは、日本産業規格のJIS Q 15001に適合した個人情報保護マネジメントシステムを構築することが求められており、その構築・運用のためには、様々な文書類を用意することが必要となります。今回は、「Pマークを取得するためにはどんな文書類が必要になってくるのか?」をご説明します。
必要な方針や内部規程
ここでは、必要な文書類のうち記録を必要としない「方針」や「内部規程」について説明していきます。
個人情報保護方針
よくWebサイト上で掲載されているのを目にしますが、何らかの形で従業者や一般の人に公開することが求められています。
Pマークを取得する場合は載せなければならない内容が決められており、それを満たした方針を作成する必要があります。
個人情報の取扱いについて
これは”取得した個人情報の利用目的”や”自分がどんな個人情報を提供したのか確認したい場合の問い合わせ先”などを記載したもので、よくWebサイトにて「個人情報保護方針」などの方針と一緒に掲載することが多いです。
個人情報保護に関する規程
個人情報保護マネジメントシステムを運用していく上では上記のような「個人情報保護方針を掲げる」などといったルールを定める必要があります。
LRMでは「個人情報保護規程」という1冊の規程を用意し、それぞれの企業様に合ったルールを定めていきます。
運用上必要なフォーマットや記録
次に、実際に個人情報保護マネジメントシステムを運用していく上で必要となるフォーマットや記録類をご紹介します。
個人情報をまとめた台帳
個人情報保護マネジメントシステムを構築・運用するためには、まず自社でどういった個人情報を取り扱っているのかを把握する必要があります。
業務ごとに分けるなどして、取り扱う個人情報や管理方法等をまとめ、一覧できるようにした台帳を用意することが求められています。
個人情報に関するリスクと対策をまとめた台帳
取り扱う個人情報を把握した上で、その個人情報の取得から廃棄に至るライフサイクルを考慮した様々なリスクを洗い出す必要があります。
そして洗い出したリスクに対してそれぞれどういった対策を取るのかを決め、それぞれ一覧したものを用意します。
遵守すべき法令等をまとめた台帳
個人情報の保護だけでなく、通常の業務を行う上で遵守しなければならない法令やガイドラインをまとめたものです。
法令等はよく更新されますので定期的に見直し、最新版にする必要があります。
委託先をまとめた台帳
個人情報の取扱いを委託している事業者名、委託している業務、委託先の個人情報の保護水準を確認した結果などをまとめて一覧化したものです。
個人情報保護の観点では、自社のみならず委託先への監督についても厳しくチェックされます。
個人情報取得に関する同意書
お客様や従業者から個人情報を取得する際には、本人から同意を得ることとなります。
採用選考や入社対応を行う際などには、あらかじめ伝えた利用目的以外の目的には使用しないことなどを明記した同意書を作成する必要があります。
教育に関する資料
従業者に対し個人情報保護に関する教育を行うことが求められており、実施する教育についての「計画書」と「実施した記録」の作成が必要となります。
内部監査に関する資料
個人情報保護マネジメントシステムが適切に構築・運用されているかを確認するため、内部監査を行うことが求められています。
実施する内部監査についての「計画書」、「監査時に使用するチェックリスト」や「実施した記録」の作成が必要となります。
マネジメントレビュー記録
内部監査などの結果や外部からの意見などを踏まえ、個人情報保護マネジメントシステムの構築・運用状況を社長からレビューしてもらい、その記録を残したものです。
文書類をまとめた台帳
ここまでで挙げた文書や記録をまとめた台帳の作成が必要とされています。
他にも、ルールが守られていない場合などに起票する「是正処置に関する記録」や、個人情報に関する苦情や相談があった場合には「苦情や相談への対応記録」などを用意する必要があります。
このように新しくPマークを取得する場合は、要求事項を網羅した文書類を山ほど作成することが求められています。これらを一から作成するとなると多大なる時間と労力がかかってしまいますが、LRM株式会社ではPマーク取得に必要な文書類を全てひな形で用意しております。
用意されたひな形を基に、企業様の実態に合わせた文書類の作成をお手伝いさせていただきますので、Pマークの取得について検討されている方は、ぜひ情報セキュリティコンサルティングサービスをご活用ください。
