個人情報保護マネジメントシステムを構成する「内部規程」の作成・維持に関する要求事項が「3.3.5 内部規程」です。さらに策定した「内部規程」の定期的な見直しに関する手順の確立も要求しています。
内部規程の対象は?
個人情報保護マネジメントシステムの核となる内部規程の作成及び管理を要求しているのが「3.3.5 内部規程」です。
なお、この規格で要求している「内部規程」の対象はa)~c)としていますが、規格の条文で「~次の事項を含む」としていることから、事業者において「個人情報を保護するために必要」と判断した場合は、その他の管理項目についても内部規程として制定するべきでしょう。
また、以下の要求事項については「内部規程」の作成対象となるa)~c)の基本要件に該当します。
3.3.5 a):3.3.1 個人情報の特定
3.3.5 b):3.3.2 法令、国が定める指針その他の規範
3.3.5 c):3.3.3 リスクなどの認識、分析及び対策
3.3.5 d):3.3.4 資源、役割、責任及び権限
3.3.5 e):3.3.7 緊急事態への準備
3.3.5 f):3.4.2 取得、利用及び提供に関する措置
3.3.5 g):3.4.3 適正管理
3.3.5 h):3.4.3 個人情報に関する本人の権利
3.3.5 i):3.4.5 教育
3.3.5 i):3.5 個人情報保護マネジメントシステム文書
3.3.5 k):3.6 苦情及び相談への対応
3.3.5 l):3.7 点検
3.3.5 m):3.8 是正処置及び予防処置
3.3.5 n):3.9 事業者の代表者による見直し
なお、「3.3.5 o)」には、対応する要求事項はありません。
すなわち「基本規程」から「就業規則」を引用して、個人情報保護マネジメントシステムに含むようなスタイルが望ましいといえます。
これは「JIS Q 15001:2006 解説 3.2.5」では「内部規程の違反に関する罰則は、就業規則で規定すればよい」としているからです。
内部規程の作成時の注意点
内部規程の作成において重要なポイントは、形式的な「規程」に終わることなく、従業者がその手順に規定された業務に直面した時、具体的に「何をしなければならないのか?」逆に「何をしてはいけないのか?」を理解し、実行できることであるといえます。
したがって「細則」や「マニュアル」、「チェックリスト」などを「上位規程」のは以下に整備する必要があります(ただし、上位規程に詳細の手順が記述されていて、下位文書の必要がない場合を除きます)。
内部規程については、事業者にとって使いやすい形式や文書構成で実現することが推奨されます。これは「JIS Q 15001:2006 解説 3.2.5」では「内部規程は、必ずしも形式的に一本化された規程でなくともよい」とあるからです。
たとえば、既にISO9001、ISO14001及びISO27001などを取得していて、他のマネジメントシステムを構築済みの場合など、一部の規程について今回の内部規程として流用(方針管理の規程や責任権限の規程ならびに文書管理、内部監査、教育、見直しの規程など)するケースなどは、これにあたります。
内部規程の制定時の注意点
また、内部規程の制定において「JIS Q 15001:2006 解説 3.2.5」では「内部規程は、経営責任などを明確にするため、取締役会の決議を経るなど一定の手続きを経て定める必要がある」と規定していることから、単に社内手続き上の「審査承認プロセス」(社内規程主管部門の承認プロセス)だけで制定するのではなく、事業者としての「最も公式かつ厳格な承認プロセス」を経て制定する必要があるということです。