個人情報保護法対応専門 行政書士 吉村健のブログ

個人情報保護法対応専門 行政書士 吉村健のブログ

2013年1月1日にクリアス法務事務所を開設しました。
企業法務を主に行っている行政書士吉村健の仕事や業務その他様々な情報を発信していきます。

プライバシーマーク(以下、Pマーク)の取得に向けた取り組みの中で必ず求められるものが、「文書」です。

いわゆる社内規程としての個人情報保護規程やJISQ15001:2017附属書Aについての取り組みの中で文書化が求められているものについて手順を含めた文書の作成が必要になります。

 

実際に作成した文書はPマークの申請時には審査機関に提出する必要もあり、作成出来ていなかったらPマークを取得することは出来ません。

 

文書化が必要なものについて

JISQ15001:2017附属書Aでは下記について文書化することを求めています。

a) 個人情報を特定する手順に関する規定
b) 法令,国が定める指針その他の規範の特定,参照及び維持に関する規定
c) 個人情報保護リスクアセスメント及びリスク対策の手順に関する規定
d) 組織の各部門及び階層における個人情報を保護するための権限及び責任に
関する規定
e) 緊急事態への準備及び対応に関する規定
f) 個人情報の取得,利用及び提供に関する規定
g) 個人情報の適正管理に関する規定
h) 本人からの開示等の請求等への対応に関する規定
i) 教育などに関する規定
j) 文書化した情報の管理に関する規定
k) 苦情及び相談への対応に関する規定
l) 点検に関する規定
m) 是正処置に関する規定
n) マネジメントレビューに関する規定
o) 内部規程の違反に関する罰則の規定

※JISQ15001:2017附属書Aから抜粋

 

上記には15個の項目があります。

つまり、この15個の項目について文書化されたものが必要になります。

すごく膨大な量に見えます。

ただ、一点気をつけてもらいたいのはアルファベットの書かれている内容の語尾はすべて「規定」であって「規程」ではありません。

つまり、a)~o)についてすべてを個別の冊子として作る必要はなく、上記についてルール・手順や取り決めがあれば問題ありません。

 

文書のまとめ方について

附属書A内で文書化が求められているものについて、文書の数やページ数は特段定められていません。

付属書Aや審査の基準の中で文書・手順が求められるものについてしっかりまとまっていれば、問題なく15冊でも1冊でもPマークを取得することは可能です。

 

後は実際に会社として取り組む上でどの程度の文量や手順の細かさ、精密さが必要になるかです。

 

このあたりについては会社の規模や経営者の考え方で変わってくる部分にもなりますので、取り組みを進める上での要相談事項になってくると考えてもらえればと思います。