「個人情報保護関連法法令及び事業者が関係する規範」を特定する手順の策定、そして維持を要求しているのが「3.3.2 法令、国が定める指針その他の規範」です。
さらにこの項では特定した「法令・規範」を常に従業者が参照でき、法令遵守が確実に行える手順の確立もあわせて要求しています。
法令順守の手順を確立する
「3.3.2 法令、国が定める指針その他の規範」では「個人情報保護関連法令及び事業者が関係する規範」を特定する手順の策定と維持を要求しています。
さらに、従業者が常に特定した「法令・規範」を参照することができ、法規制遵守が確実に行える手順の確立についても要求しています。
守るべき法令・規範を特定する
この規格の本質は「個人情報関連法令」だけでなく、第2章の2-3に記した「個人情報保護法の第8条に基づく関係省庁のガイドライン」や「事業者が加盟する団体のガイドライン」についても、これを遵守するよう要求しています。
また、「個人情報保護法」以外にも個人情報保護に関する法律が、事業者が所属する業界によって該当するものは異なるものの、いろいろ存在しています。
たとえば「労働安全衛生法」でも、その第104条(健康診断に関する秘密の保持)には個人情報保護に関する条文が規定されており、「職業安定法」でも第5条の4(求職者等の個人情報の取扱い)では個人情報保護に関する条文が規定されています。
その他の「個人情報保護が含まれる法律」の代表的なものは、以下の法律があります。
- 行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(第10畳 再委託)(第11条 委託先の監督)(第12条 個人番号利用事務実施者等の責務)(第33条 安全管理措置)(第34条 従業者の監督)
- 労働派遣事業の適正な運営の確保及び派遣労働者の就業条件の整備に関する法律(第24条の3 個人情報の取扱い)(第24条の4 秘密を守る義務)
- 確定拠出年金法(第43条の2 事業主の行為準則)
- 金融機関等による顧客等の本人確認等に関する法律(第3条 本人確認義務等)
- 割賦販売法(第39条 信用情報の適正な使用等)
- 貸金業の規制等に関する法律(第30条2項 個人信用情報の目的外利用禁止)
以上の、個人情報関連法令に加えて「認定個人情報団体が定めた個人情報保護指針」「事業者が加盟する団体のガイドライン」及び「地方自治体の個人情報保護条例」など、関係する個人情報保護に関する規範を特定し、「管理台帳」や「一覧表」などにまとめた上で、常に社員が参照できるための手順を確立します。
法令規範を管理する
特定した法令及び規範を管理する、これが次に重要なこととなります。
すなわち、特定した法規制などがその後改廃していないか、また追加するべき法規制が新規に発行されていないか、これを定期的に確認し、作成した管理台帳を常に最新の状態に維持しなければいけないのです。
あわせて、法規制の改廃や追加があった時には、新たに特定された遵守事項を個人情報保護マネジメントシステムに取り入れ、整合を図らなければなりません。
ただし、個人情報保護マネジメントシステム文書などの改定に時間を要する、というのがその多くの場合であり、仮に緊急性の高い法規制の変更があった場合は、マネジメントシステム文書の改訂及び再配布を待って従業者へ教育・周知などをするよりも、法規制管理台帳などを用いて事前通知を行うことが一般的な手法となり得ます。
以上のことから時機を得た適切な法規制の追加、改廃情報の確認、そして迅速な変更情報の従業者への伝達が重要なポイントになります。