事業者の個人情報保護マネジメントシステムがどのような構成で確立しているかを明確にするための要求事項が「3.5 個人情報保護マネジメントシステム文書」です。
したがって、「遵守すべき事項」ならびに「手順」または「引用される規程」などを「規格の要求事項」ごとに体系的にまとめることが必要になります。
基本となる要素を書面で記述する
「3.5 個人情報保護マネジメントシステム文書」では、以下の内容を要求しています。
- 個人情報保護マネジメントシステムの基本となる要素を書面で記述すること(3.5.1 文書の範囲)
- 規格が要求するすべての文書(記録を除く)を管理する手順を確立し、実施し、維持すること(3.5.2 文書管理)
- 個人情報保護マネジメントシステム及びこの規格の要求事項への適合を実証するために必要な記録を作成し、維持すること(3.5.3 記録の管理)
- 記録の取扱いについての手順を確立し、実施し、維持すること(3.5.3 記録の管理)
個人情報保護マネジメントシステムの基本となる要素とは
「個人情報保護方針」、「内部規程」、「計画書」及び「規格が要求する記録及び事業者が必要と判断した記録」のことを「個人情報保護マネジメントシステムの基本となる要素」といいます。
要求事項対応表を作成する
「3.5.1文書の範囲」では「個人情報保護マネジメントシステム基本規程」というような、取り組みの根幹となる基本規程に、規格のすべての要素を記述(たとえば「方針」についてはどうするか、「体制」についてはどう実現するかなどの各要求事項の基本要件を規定し、実際の手順が規定されている「内部規程」を引用する)する方法が、具体的な実現方法としてありますが、組織が遵守する規格が他にもある場合(たとえば、情報セキュリティマネジメントシステム(ISMS)適合性評価制度の認証組織ではJIS Q 27001など)は作成する規程が煩雑になることがあります。
そのため、「要求事項対応表」などを作成し、体系的に「規格の要求事項」「基本規程の章」「引用される規程」の相関関係を明確化する方法があります。
これは規格要求地黄が変更になった際に、規程の手直しを効率よく行う手助けになるなどのメリットがあり、また、この要求事項における成果物により、内部監査時の「整備状況の監査(体制面の監査)」を効率的に行うことが可能になります。(なお「監査」に関する内容は、後述する「3.7.2 監査」の要求事項で詳しく説明します)
文書管理とは
規格では「文書ほ発行・改訂」「改定内容と版数との関連付け」及び「文書の可用性」を含めることを、最低限の「文書管理」として、求めています。
規格では詳細に要求していないその他の文書管理項目は、ISO9001:2008の文書管理や記録管理の要求事項などを参考にするとよいでしょう。
なお、ISO9001:2008の文書に関する要求事項では、次の管理項目を要求しています。
- 発行前の文書の承認
- 文書の定期的な見直し
- 再承認
- 文書の変更の識別及び現在の改定版の識別
- 適切な版の使用
- 文書の識別
- 外部文書の識別及び配布
- 廃止文書の誤用防止及び旧版の識別
また、文書の作成時あるいは改訂時にばかり意識が集中した結果、作られた最新版の文書の配布が確実に行われておらず、旧版に記載された誤ったオペレーションを続けていたなどという話もあります。
また誤ったオペレーションを防止するために旧版の取り扱い(回収、廃棄)や、作られた最新版を必要とする方に確実に配布することなどを、手順に含めるとよいでしょう。
対象となる文書は?
個人情報保護マネジメントシステムの構成要素となる「文書」の管理に関する要求事項が「3.5.2 文書管理」です。
規格の要求事項では「この規格が要求するすべての文書」と規定していることから、対象となる文書が「内部規程」だけではなく「方針」「内部規程」から引用される「手順書」や「台帳」なども管理対象となることを留意するべきでしょう。
記録の管理とは
規格では、記録の管理についての具体的な要求事項は規定していません。
したがって、ISOO9001:2008の要求事項を参考に手順を確立することが望ましいでしょう。
なお、ISO9001:2008の記録に関する要求事項では、以下の内容を要求しています。
- 記録の識別に関する手順の確立
- 記録の保管(場所・期間・方法など)に関する手順の確立
- 記録の廃棄(担当者・時期・方法など)に関する手順の確立
- 記録の保護に関する手順の確立
- 記録の検索に関する手順の確立
また、「教育受講アンケート」など、その記録自身が個人情報である場合があります。
そのため「3.4.3 適正管理」に沿った管理を行う必要があります。
あわせて、法定年限などを考慮した保管期間を決める必要があります。