規程だけでなく、理解しやすく具体的な実行手順を明確にする~個人情報保護マネジメントシステム文書の作成

PMS(個人情報保護マネジメントシステム)

 「個人情報保護方針」、「基本規程」、「管理規程」などが、個人情報保護マネジメントシステムの代表的な文書には存在します。

個人情報保護マネジメントシステム文書とは

 一般的に「個人情報保護方針」「基本規程」「各管理規程」「各管理手順(細則、マニュアル、手順書など)」「様式」「記録」で構成されているのが、個人情報保護マネジメントシステム文書です。

 単に形式的な「規程」を作成するのではなく、自社の従業者がその手順に規定された業務を行う際に、具体的に「何をしなければならないのか?」「何をしてはいけないのか?」を理解し、実行できることが、作成上のポイントとして重要になります。

 また、JIS Q 15001の規格要求事項では「文書の形式」「書式」「文書体系」などについては、細かく要求していません。

したがって、事業者が利用しやすいような形で実現する必要があります。

文書体系を決定する

 「個人情報保護方針」などの「基本方針」、「個人情報保護マネジメントシステム基本規程」といった「基本規程」などから「個人情報取扱規程」などの各管理規程、手順などがどのような関連になっているかを表したものを文書体系といいます。

 JIS Q 15001の規格要求事項では「文書の形式」「書式」「文書体系」などは、前述したように細かく要求していません。

したがって、この文書の体系に関しても事業者が利用しやすいような体系を確立することが必要になります。

 「方針」→「基本規程」→「管理規程(細則)」という体系が一般的には多いようですが、「職場が参照すべき管理規程(細則)のみを基本規程と別立てにする」という体系を事業者によっては選択したり、また、「基本規程に細則も含めて規定する」という体系にするケースも事業者の規程によってはあります。

 さらに、他のマネジメントシステム(ISO9001やISO14001、ISMSなど)をすでに構築している事業者などは、「体系」について慎重に検討する必要があるケースにあたるでしょう。

事業者によって異なりますが、一つのケースは「それぞれのマネジメントシステムで個別の体系を構築する」というのが考えられます。

別のケースでは「それぞれのマネジメントシステムを一つの体系で構築する」という考え方もあります。

個人情報保護方針を作成する

 「事業者の代表者が個人情報保護に関する取組みを内外に表明する重要な文書」が個人情報保護方針です。

したがって、事業者の特性に合わせて極力具体的に作成する必要があります。また、以下の内容を含めることをJIS Q 15001の規格要求事項では要求しているため、これらの内容は必須となります。

  • 事業の内容と規模を考慮した適切な個人情報の取得、利用及び提供に関する内容(目的外利用を行わないこと及びその防止措置を含む)
  • 個人情報の取扱に関する法令及び国が定める指針その他の規範を遵守するという内容
  • 個人情報の漏洩、滅失又は棄損の防止及び是正処置に関する内容
  • 個人情報保護マネジメントシステムを継続的に改善するという内容
  • 代表者の氏名
  • 制定年月日及び最終改定年月日
  • 問い合わせ先

個人情報保護基本規程を作成する

 「基本方針」である個人情報保護方針に基づき自社の個人情報保護に関する管理項目及び個人情報保護マネジメントシステムの概要を規定した文書のことを個人情報保護基本規程といいます。

 規格要求事項では「基本規程」の作成を要求していません。そのため、箇条書きのように自社の従業者が遵守すべきこと、やるべきことなどを列挙してもよい、ということになります。

 しかし、いきなり「~をすること」や「~をしてはならない」という細かい規定を従業者が見ても理解できないケースが多いかもしれません。

また従業者が、規程にない例外的な事象が発生したときに、何をどうしたらよいのか判断ができないことも考えられます。

したがって、事業者としての考え方を、各管理項目について「なぜやらなければならないのか」など「基本規程」に記述し、それに伴い各管理規程を引用するような手段が有効といえます。

 「基本規程」の例については、別掲する「個人情報保護マネジメントシステム基本規程」を参照してください。

個人情報保護管理規程(細則)を作成する

 個人情報保護基本規程に定められた管理項目を、実際の業務に適用するために必要となる手順にブレイクダウンした文書のことを個人情報保護管理規程といいます。

 なお、JIS Q 15001の規格の要求事項である「内部規程」のことを、ここでいう個人情報保護管理規程といい、詳細の手順を定めたものです。

したがって、「従業者がその手順に規定された業務に直面したとき、何をしなければならないのか、何をしてはいけないのか」を理解し、実行できる文書であることが、管理規程の内容には求められます。

そのため、管理規程は曖昧な表現ではなく、具体的な対象(部門や担当者、情報の名前など)や具体的な手順を記載する必要があります。

 「管理規程」の例は、別掲する「個人情報取扱規程」及び「個人情報開示規程」を参照してください。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

writer002