本人からの苦情・相談への対応に関する要求事項が「3.6 苦情及び相談への対応」です。
「本人からの自己の情報に関する苦情」「本人からの、事業者の個人情報保護マネジメントシステムに対する苦情」及びそれぞれの「相談」を対応の対象としています。
本人からの苦情・相談に対応する
「3.6 苦情及び相談への対応」では、以下の内容を要求しています。
- 個人情報の取扱い及び個人情報保護マネジメントシステムに関して、本人からの苦情及び相談を受け付けて、適切、かつ、迅速な対応をすること
- 上記の目的を達成するために必要な体制の整備を行うこと
体制を整備する
一般的に対応窓口の役割を担うのは、常設の「お客様窓口」や「お客様相談室」ということになるでしょう。
本規格では、体制の整備についても、苦情及び相談の受付・対応と同様、明確に求められています。
そのため、対応窓口を設置するだけでなく、内容に応じて次に誰が何を行うべきかを判断し、実際に行うための役割、責任・権限などを明確にする必要があります。
また、従業員も個人情報の持ち主であるということは、「窓口」の設置に関して留意すべきことになります。
したがって、外部の顧客だけを対象とした「窓口の設置」だけでは、要求事項の確実な実現とはいえず、従業者からの苦情や相談の窓口及び手順についても明確にする必要があります。
なお、一般的に「社員情報」の主管部門である総務部門や人事部門が、従業者からの「苦情・相談」の受付を実施するケースが多いようです。
窓口を設置する
これは当然のことですが、その窓口を利用する人にその存在を知らされなければ、「窓口」を設置しても、要求事項の実現はできません。
また「JIS Q 15001:2006 解説」でも「窓口又は担当者の連絡先は、本人に対して告知する必要がある」と規定していることから、「通知・同意文書」などを利用して「3.2 個人情報保護方針」に基づき策定された自社の個人情報保護方針や「3.4.2.4 本人から直接書面によって取得する場合の措置」に基づき告知しなければなりません。
苦情対応の体制を確立する
JIS Q 15001:2006の解説では、ISO10002/JIS Q 10002(品質マネジメントー顧客満足ー組織における苦情対応のための指針)を、苦情体制の確立を行う際に参考することが望ましいとしています。
など、この規格で規定している代表的な苦情対応の原則よ呼び対応プロセスは、以下のとおりです。
- 苦情を積極的に受け入れること
- 全ての苦情を収集し記録すること
- 苦情を電子的又は受動的に受け付けた場合は、受理した旨を苦情申出者に通知すること
- 個々の苦情に関する妥当性、影響及び、適任となる対応者を評価すること
- 苦情を可能な限り早期に解決を図ること
- 苦情のついての対応を申出者に指示し、申出者の反応を評価すること
- 苦情の内容、対応などについて見直しすること
個人情報保護法との関連
個人情報保護法「第31条 個人情報取扱事業者による苦情の処理」が「3.6 苦情及び相談への対応」に相当します。
要求内容は、ほぼ同等です。