シンメトリック公式BLOG
システム開発のノウハウをまとめています

プライバシーマーク、個人情報マネジメントシステムの文書化/内部規定の作成

今回(5回目)のコンサルティングでは、作成中の資料の見直しを行い、「個人情報に関する本人の権利に関する規定」の説明をしていただきました。前回書いた記事に作成中の資料の内容は記載したので、ここでは規定の内容を少し説明したいと思います。

個人情報マネジメントシステムの文書化

日本工業規格(JIS)が作成した 「JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項」中で、個人情報マネジメントシステムを明確に把握するために文書化する、ということが記載されています。その中の1つが内部規定で、なんと15種類ほど作成しなくてはなりません。

今回は、その内部規定に含まれる「個人情報に関する本人の権利に関する規定」について、コンサルタントの方より説明が行われました。下記の図が、「JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項」に記載されている文書体系の概略です。bunsho0804

このピラミッド型の文書体系に記載されている文書を、現在、少しずつ作成している状況です。文書体系の1段目に書かれている「個人情報保護方針」は、以前の記事「プライバシーマークを取得するために」で書いたプライバシーポリシーにあたり、完成している部分です。

文書体系の3段目にあたる内部規定は、薄いものもあれば、随分と厚みがあるものもあります。これらをゼロから作成するのは非常に大変ですが、弊社ではコンサルティングを受けているので、コンサルタントの方に作成していただいたものをベースとして、弊社に合わせて多少の修正を行う程度です。とはいっても内容を理解しなくてはならないので、頭を抱えたり、チョコレートを食べたりを繰り返しています。

個人情報に関する本人の権利に関する規定

「個人情報に関する本人の権利に関する規定」は文書体系からもわかるように、実施及び運用の内部規定の1つになります。

この規定は、本人の権利を保護する規定です。目的は、本人から開示、訂正、削除の要求があった場合と苦情及び相談等の対応になります。

本人権利管理規定から、必要になる書類は2つあります。

  • 開示請求・問い合わせ 結果通知書
  • 窓口対応記録

このように、問い合わせや苦情があった際に、書面でのやりとりをして、記録を残します。また、クレーム処理の仲介をしてくれる団体があると聞きました。これは、申し込んでおいたほうが良いですね。 (JIPDECの認定個人情報保護団体

とにかく、規定は何度も読んで少しづつ理解していくしかありません。「JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項」の資料を片手に規定を読む時は、頭を抱えるだけではなく、睡魔が襲ってくるので、清涼菓子のミ〇ティアが手放せません。

次回は社内教育・研修

次回のコンサルティングでは、社内教育・研修を行います。その他に資料の見直しと、安全管理措置について、新たに3種類の内部規定の説明が行われます。難しい漢字が羅列してある規定の名前を見るだけで、ぞっとしますが、地道にがんばっていきたいと思います。

Page Top