2007/09/17 月曜日 09:10:59 JST |
「個人情報保護マネジメントシステム」の構築に向けて(第5回)
~内部規定の作成(第2回)~
b)法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
“JIS 3.3.2法令、国が定める指針その他の規範”に規定された事項である。
「法令、国が定める指針その他の規範」としては、法令、国が定める指針(ガイドライン、告示)、自治体の条例(都道府県、市区町村)、業界団体や認定個人情報保護団体が定める指針(ガイドライン)等が該当する。
PMSを構築するに当たっては、公表されている「法令、国が定める指針その他の規範」の内、貴社に適用される(貴社が遵守すべき)ものを特定し、更に、それらの「法令、国が定める指針その他の規範」に示された、どの要求項目が貴社に適用されるものであるかを見極め、その要求に対応するための規定(貴社での実施手順)をPMSに盛り込むことが必要である。
ここでは、「法令、国が定める指針その他の規範」の特定、参照及び維持に関する手順を定めることが求められている。
先ず、新しく「法令、国が定める指針その他の規範」が発行された場合や、改定が行われた場合に、その情報を、誰が、どのように入手し、それが貴社に適用されるものか否か、改定内容が貴社に適用されるものか否か等を判断し、その中のどの要求項目が貴社に適用されるものであるかを見極め、その要求に対応するための規定をPMSに盛り込む手順までを規定する。
手順としては、5W1Hを意識して纏めればよい。
個人情報保護法の第8条には“国は指針の策定を行なうこと”が定められており、各監督省庁からはそれぞれの分野での 事業者へ向けてのガイドラインが告示されている。
「法令、国が定める指針その他の規範」の情報源としては、内閣府の国民生活局の「個人情報の保護の頁( http://www5.cao.go.jp/seikatsu/kojin/ )」から入手できる。
地方自治体(都道府県・市区町村)の個人情報の保護に関する条例の制定状況(平成18年4月1日現在)によると、制定 率は平成18年度で100%となっており、全ての都道府県・市区町村で“個人情報の保護に関する条例”が制定されている。
(http://www.soumu.go.jp/s-news/2006/060629_1.html)
地方自治体(都道府県・市区町村)の個人情報の保護に関する条例の内容は貴社が実施する業務の内容によっては、貴社に適用される条項がない場合もあるが、貴社が地方自治体(都道府県・市区町村)より業務を受託して行なう場合はかなり関係することがあるので、注意を要する。
「その他の規範」としては、貴社が所属する“認定個人情報保護団体”や“業界”のガイドラインもある。
“認定個人情報保護団体”のガイドラインは下記のURLから参照・ダウンロードが可能である。(http://www5.cao.go.jp/seikatsu/kojin/ninteidantai.html)
また、“業界”のガイドラインは、社団法人情報サービス産業協会のホームページに纏められており、それを参照すると良い。(http://www.jisa.or.jp/pdguide/link06b-j.html)
今回は、上記の「法令、国が定める指針その他の規範」に関する資料をダウンロードして参照し、内容の確認をしてください。
さて、手順書(法令、国が定める指針その他の規範の特定、参照及び維持に関する規定)としてはここまで定めればよいが、実際には、“貴社に適用される”とされた「法令、国が定める指針その他の規範」の内容を把握し、その要求事項に応えるための規定を“貴社のPMS(規定等)に盛り込んでゆく”ことが必要である。
上記の「法令、国が定める指針その他の規範の特定、参照及び維持に関する規定」の中で定めた役割(責任と権限)に基づき、貴社に適用されるとされた「法令、国が定める指針その他の規範」を読破し、その要求内容を把握して、貴社が遵守することが要求される条項に対応するための規定を作成してゆく。
それらは、JIS Q 15001に基づいて作成する「内部規定」の中に盛り込んでも良いし、別途に規程を作成しても良い。
「法令、国が定める指針その他の規範」の内の、貴社が遵守することが要求される条項を検討するに当たり、次を留意する必要がある。
―――JIS Q 15001と「法令、国が定める指針その他の規範」(個人情報保護法、またそれぞれのガイドラインや条例)では、規定されている内容が若干異なっており、また要求の程度や詳細さも異なっている。―――
考え方としては、客観的に考えて、「JIS Q 15001と個人情報保護法、またそれぞれのガイドラインや条例」の要求事項の内の、“より厳しい要求内容、より要求範囲の広い要求内容”に対応できるような規定として、貴社のPMSの中に盛り込んでゆくことが必要である。
次回からは、リスク分析について述べたいと思う。
(中小企業診断士 中村 隆昭)
|