個人情報保護方針

「個人情報保護に関する事業者の基本方針」、すなわち事業者の個人情報保護に関する考え方や原則を明確にするための要求事項、それが「3.2 個人情報保護方針」です。

事業者の個人情報保護に関する考え方や原則を明確にする

個人情報保護マネジメントシステムを構築する上で核となる基本方針に関する要求事項を規定ているのが「3.2 個人情報保護方針」であり、以下の要件を要求しています。

  • 個人情報保護の理念に基づく方針を定め、実行すること
  • 方針を文書化し、従業者に周知すること
  • 一般の人が入手可能な措置を講じること

 マネジメントシステムではそのテーマ(ISO9001であれば顧客満足、ISO14001の場合は環境保護、ISMSであれば情報セキュリティなど)を実現するための事業者の「考え方」や「遵守すべき事項」ならびに「原則」を明確にするための方針があり、本来マネジメントシステムはこの「基本方針」に基づき、策定されます。

 また、この要求事項は事業者のトップに関する要求事項なので、主語は「事業者の代表者は~」となっています。

なお「JIS Q 15001:2006解説」では、代表権をもつ者を代表者であると解説しています。

個人情報保護方針を作成し、制定する

要求事項では、個人情報保護方針の作成において以下の要件を規定しています。

  • 事業の内容と規模を考慮した適切な個人情報の取得、利用及び提供に関する内容を含むこと(目的外利用を行わないこと及びその防止措置を含む)
  • 個人情報の取扱に関する法令及び国が定める指針その他の規範を順守するという内容を含むこと
  • 個人情報の漏洩、滅失又は棄損の防止及び是正処置に関する内容を含むこと
  • 苦情及び相談への対応を含むこと
  • 個人情報保護マネジメントシステムを継続的に改善するという内容を含むこと
  • 代表者の氏名を含むこと

なお上記の文言をそのまま方針に記載するのではなく、事業者としての具体的な内容を記載しなければならないと「JIS Q 15001:2006 解説」では指定しています。

すなわち、「具体的な取組みを内外に宣言するための文書」という方針の本質にあたる性質をよく理解した上で作成する必要があるという事です。

また公開を前提とする方針は、以下の内容を含む事を要求しています。

  • 制定年月日及び最終改定年月日
  • 問い合わせ先

あわせて、個人情報保護方針は、取締役会の決議を経るなど一定の手続きを経て定めることを要求しています。

これは、個人情報保護に関する理念及び経営責任を明確にするためです。

個人情報保護方針を周知する

注意しなくてはいけないのは周知の対象は「正社員」だけではなく、「従業者」となっていることです。

 「従業者」とは、「事業者の組織内にあって直接間接的に事業者の指揮監督の下、事業者の業務に従事しているものを指し、以下のものが含まれる」と経済産業省発行の「個人情報保護に関する法律についての経済産業分野のガイドライン」では定義されています。

  • 従業員(正社員、契約社員、嘱託社員、パート及びアルバイトなど)
  • 取締役、執行役、監査役、理事、監事、派遣社員など

また、周知の手段としては「定期的な集合教育による周知」や「事務所内や社内ホームページへの掲示」、「従業者への配布」などが考えられます。

このとき注意すべきなのは「個人情報保護方針」に関してはこの規格の3.5.2の文書管理の対象であることから、配布などの方法をとる場合は、配布先の管理や改定時の旧版の回収・廃棄及び新版の再配布などの手順も準備する必要があるという事です。

個人情報保護方針を公開する

公開の対象は「一般の人」となっています。

したがって、社外の方が容易に参照できる、または入手できる手段が必要となります。

「JIS Q 15001:2006 解説」では、そのような手段に関して以下のものが望ましいと規定しています。

  • 事業者のホームページによる公開
  • 会社案内への掲載及び受付などでの設置
  • 遠方からの問い合わせに対する迅速な送付耐性の準備

これについては、自社の特性及び本人とのコミュニケーションの取り方に応じて最良であると思われる手段を選択し、実現していくことが重要になります。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする