2008/03/19 水曜日 12:25:01 JST |
~規定と文書化を考える~
JIS Q 15001の中では、文書化するものとして、下記を上げており、「書面で記述しなければならない」と規定している。
a)個人情報保護方針
b)内部規程
a)個人情報を特定する手順に関する規定
b)法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
c)個人情報に関するリスクの認識、分析及び対策の手順に関する規定
d)事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
e)緊急事態(個人情報が漏えい滅失又はき損した場合)への準備及び対応に関する規定
f)個人情報の取得、利用及び提供に関する規定
g)個人情報の適正管理に関する規定
h)本人からの開示等の求めへの対応に関する規定
i)教育に関する規定
j)個人情報保護マネジメントシステム文書の管理に関する規定
k)苦情及び相談への対応に関する規定
l)点検に関する規定
m)是正処置及び予防処置に関する規定
n)代表者による見直しに関する規定
o)内部規定の違反に関する罰則の規定
c)計画書
a)教育計画書
b)監査計画書
d)この規格が要求する記録及び事業者が個人情報保護マネジメントシステムを実施する上で必要と判断した記録
a)個人情報の特定に関する記録
b)法令,国が定める指針及びその他の規範の特定に関する記録
c)個人情報のリスクの認識,分析及び対策に関する記録
d)計画書
e)利用目的の特定に関する記録
f)開示対象個人情報に関する開示等(利用目的の通知,開示,内容の訂正,追加又は削除,利用の停止又は消去,第三者提供の停止)の求めへの対応記録
g)教育実施記録
h)苦情及び相談への対応記録
i)運用の確認の記録
j)監査報告書
k)是正処置及び予防処置の記録
l)代表者による見直しの記録
書面とは、必ずしも「紙」である必要は無く、可読ファイルやインターネットやイントラネット上に掲載したページでも良い。
さて、ここで、文書化という観点から、内部規程の文書化について考えてみたい。
文書化に関連する要求事項としては、JIS Q 15001の中で、規定、手順、基準等の言葉の出てくる所が関連する。
すなわち、規定、手順、基準等、業務を実施する、すなわち個人情報保護マネジメントシステムを運用する上での、“手順”、“きまり”、“ルール”、“標準”、“基準”・・・等々と呼ばれるようなものを決めて、書面にしなさいと言っている訳である。
文書化=書面にすること
言い方を変えれば、業務の実施における標準化を行い、それを文書化することを要求している訳である。
しかし、それらについて、どの程度“詳細”に決めて(標準化して)、文書化するかについては規定していない。
ここには、“決める”ことと、“文書化する”ことの二つのポイントがある。
結論から言えば、“どの程度詳細に決めて” 手順として“どの程度文書化”するかは、組織(企業)の大きさや、状況によって異なってくる。
貴社の社内の状況を考え、業務の遂行において、また、個人情報の取扱いにおいて、いかなる場合も遺漏なき対応ができるようにすることを考えて規定を作成することが必要である。
事故が発生した後で、もっとキチット決めておけば良かった、文書化して十分に周知しておけば良かった、と臍を噛んでも後の祭りである。
事故を起こした従業員を、“それくらい常識だろう”という言葉で責めてみても、本人にとってはそれは常識ではなく、その人にとっては“これくらい大丈夫だ
という感覚が体に染み付いていた”訳で、昨今の社会の状況は、良い言葉で言えば“価値観が多様化しており”
「何を良しとし、何を良しとしないのか?」という基本的な価値観として同じものを全従業者が共有している訳ではないので、経営者や上位者が考えている常識
は必ずしも通じないことに注意をする必要がある。
規定(手順書)を作成するには所謂5W1Hを意識して作成する必要がある。
少なくとも、どのような時に(Ex.本人から開示の請求があった時に)、誰が(Ex.個人情報苦情・相談窓口担当者が)、何を(Ex.開示請求受付書
を)、どうする(Ex.作成する)、それを誰が(Ex.個人情報保護管理者)、どうする(Ex.承認する)、と言うようなことを具体的な規定(手順書)と
して作成する必要がある。
規定(手順書)は全て文章で記述しなければならない訳ではない。フローチャートで手順を示したり、使用する記録の様式に上記のような5W1Hを組み込んでも良い。
このような規定(手順書)を作成する上において、幾つか注意する点を述べる。
前の連載である「プライバシーマーク入門講座」も再度お読み頂き、PMS文書の作成においては本記事と合わせて参考にしていただきたい。
JIS Q 15001の中には、明示的に要求して、または明示的には要求していないが内容から暗黙の内に要求しているものとして、“時期を決める”、“回数を決める”、“値を決める”、“基準を決める”等、具体的に規定することが要求されているものがある。
(1)マネジメントシステムとして実施時期を規定するもの:
計画書の作成時期
内部監査の実施時期
教育の実施時期
経営者による見直しの実施時期
これらの実施時期を決める上においては、年間のPMSの実施計画を考えると良い。
PMSにおけるPDCAをどのように回してゆくかがポイントである。
当然、PMSは企業の経営システム(マネジメントシステム)の一部であるので、会社としての経営(経営計画)と切り離して考えてはいけない。
会社の経営は会社の経営、PMSはPMSとして運用して行くと、経営との連携がとれず齟齬を来たしたり、また非常な非効率に陥る等が考えられる。
例えば、業務の実施において、業務の遂行の場面々々で、業務の遂行における注意事項と、個人情報の保護のための注意事項が全く別物として扱われたのでは、業務の遂行において、幾つもの規定(手順書)を参照しなければならず、煩雑なだけでなく、ミスを犯し易くなる。
PDCAを回して、継続的な改善を図る上においても同様である。
また、PMSの実施・運用を行ない、改善を図るには、経営資源を必要とする。
経営資源は、経営における資源であり、その一部をPMSの改善(実施・運用)に振り向ける訳であるが、当然、経営者は、全経営の中でのバランスを考えて資源の配分を行なう。
PMSも経営の一部であるので、経営におけるPMSの位置づけを明確に認識し、個人情報保護方針(企業の個人情報の保護に対する理念)の実現に向けて、経営活動として、PMSの継続的な改善を図って行くことが必要である。
では、ここでPMSのアクティビティーの実施時期について、経営計画との関連で考えて見よう。
ここでキーとなるのが、経営計画の作成である。
経営計画としては、短期計画、中期計画、長期計画、等があるが、ここで考えるのは、年度を単位とした短期経営計画である。
この中に、PMSのPDCAのルーチンも組み込んで行くことが必要である。
企業の会計年度が4月~3月の場合を考えて見よう。
次年度の予算が決定される時期については、年度が明けて前年度の決算が確定してから、という場合も多いと思われるが、ここでは期末に次年度の予算を決定する(3月に作成)として考えて見る。
次年度の予算ということは、PDCAのP(計画)に予算的裏づけを付けるということである。
ということになると、その前にA(Act:改善の検討)のサイクルが来る。
すなわち、2月頃には“事業者の代表者による見直し(マネジメントレビュー)”を実施して次年度の改善の目標を設定し、詳細の計画を立て、必要な予算をはじき出さなければならない。
“事業者の代表者による見直し(マネジメントレビュー)”を実施する前には、マネジメントレビューの重要なインプット情報となる、内部監査の結果が用意できる必要がある。
すなわち、1月~2月頃には内部監査を実施する必要がある。
内部監査の実施時期としては、それよりも前でも良いが、ホットな情報を基に次年度の計画に結び付けて行くことが好ましいので、なるべく“事業者の代表者による見直し(マネジメントレビュー)”の直前に実施するのが好ましい。
計画には、上記ようなPDCAのPに該当する計画と、その計画の一部としての教育の計画や監査の計画もある。
教育の計画や監査の計画は、JISが要求する、ルーチンとして毎年必ず実施する部分と、改善計画とリンクさせた形で、教育計画と監査計画を立案する部分を考えると良い。
ルーチンとして毎年必ず実施する部分は毎年の実施時期を規定に定めて実施することが求められている。
改善計画とリンクした教育計画と監査計画としては、次年度において改善を実施する上における教育や、改善を実施した結果を確認するための監査が考えられる。
これらの計画の作成や、計画に基づいた実施についても規定に盛り込んでおくと良い。
その他に、JIS規格の中で“定期的”の言葉で示されている実施項目としては、次がある。
・運用の確認
事業者の各部門及び階層において定期的に運用の確認(点検)を実施することが要求されており、点検の時期又は周期、頻度等を規定する。
・個人情報管理台帳の定期的な確認(JIS解説)
個人情報管理台帳についても定期的な確認(見直し)が要求されている。見直しの時期を規定しておく。
さらに、個人情報管理台帳の見直しは、新しい事業の開始に伴う新しい個人情報の取扱いの開始時や、組織の改変時等、何らかの事態の変化を切っ掛けとしての臨時の見直しも規定しておく。
・リスク分析の定期的な評価・見直し(JIS解説)、
リスク分析の定期的な評価・見直しも要求されている。見直しの時期を規定しておく。
さらに、個人情報管理台帳の見直しに伴うリスク分析の見直しや、新しい脅威の情報や世の中で発生した事故の情報に基づくリスク分析の見直し、また、新しい技術情報を入手した際の見直し等、何らかの事態の変化を切っ掛けとしての臨時の見直しも規定しておく。
・そのほかに、委託先の再評価がある。
これらの規定への盛り込み方としては、毎年ルーチンとして実施するものは、標準の年間の実施サイクル(上記)を決めて、その中で規定しておいても良い。
(2)安全管理策として実施周期又は実施時期を規定するもの
次に安全管理策を定める上において、個別の安全管理策の実施周期又は実施時期を決めておくべきものを考えてみたい。
下記するものが全てではないが、下記から類推し、安全管理策の規定(手順書)の中にはその安全管理策の実施周期又は実施時期を明示しておく必要がある。
[実施周期又は実施時期を規定することが必要な安全管理策の事例]
・入退出記録のチェック周期(時期)、 ・ 訪問者の記録のチェック周期(時期)
・アクセスログのチェック周期(時期)、・ パスワードの変更周期(時期)、
・コンピュータのバックアップの取得周期(又は、取得のタイミング)、等々・・
(3)安全管理策の実施における具体的な数値を決めておくもの
次に安全管理策を定める上において、具体的な数値として明確に決めておくべきものを考えてみたい。
安全管理策の策定(規定の作成)において、教科書や他社のサンプルをそのまま持ってきて貴社の規定とすることは駄目である。
教科書では、例えば、スクリーンセーバーを掛けることの必要性は示しているが、貴社の業務の実施状況を勘案した上での適切な設定時間は示していない。
規定(手順書)の中では、スクリーンセーバーを使うことだけでなく、どのような起動時間に設定するかや、パスワードの設定も明確に規定する必要がある。
スクリーンを盗み見られる対象をどのように考えるのかにより、スクリーンセーバーの設定時間も変わって来る筈である。
“窓口業務を行なっており、外部の人間(顧客等)に盗み見られる可能性の高い場合”と“同じ業務を実施する担当者だけが、一つの独立した部屋の中で業務を
実施しており、その部屋には担当者以外の入室ができない仕組みができている場合”、ではスクリーンセーバーの設定に対する対応は全く変わってくる。
そのような条件を考慮し(リスク分析を実施し)て、スクリーンセーバーの起動時間を規定することが必要である。
また、このように明確に(時間を)規定しておくことのメリットとしては、誰でもが自分が実施しなければならないことを明確に認識できる、点検や内部監査での基準が明確になる、問題が発生した場合や問題の発生の可能性が予見された場合、現在規定されている数値を基に改善の検討ができる、等々、多く期待できることも認識しておくべきである。
安全管理策は具体的に、全従業者が守るべきルールとして明確に定め、文書化しておくことが必要である。
他の、具体的な数値として決めておくべき事項の例を下記する。
・パスワードの(最少)桁数、・暗号化を実施する場合の暗号鍵のbit長、等々・・・
(4)その他の、数値的に具体的に規定しておくもの
その他、数値的に規定しておくべきものとして、保存/保管期限がある。
・文書の保存期限(文書管理台帳に規定)、
・記録の保管期限、
・各個人情報の利用期限、保管期限(個人情報管理台帳に規定)
・アクセスログの保管期限
(5)基準として明確にするもの
その他として、基準を設定し、規定の中で明確に文書化するものとして、“委託先を選定する基準”がある。
“委託先を選定する基準”は、必ずしも点数を付けて数値的なものとして示す必要はないが、客観的に、どのような基準で判断して、委託先として選定したのかを第三者にも明確に示せるような基準として規定の中で明確に文書化する。
このように、規定や手順書を作成する上において重要なことは、自分たちが業務において“実施すべきこと”、“守るべきこと”、をルールとして具体的にまた明確に、文書化する、ということである。
そして、“ルールとして明確化・文書化されたものを、従業者全員が遵守してゆく”、という運用を行うことが重要である。
従って、教科書やテンプレート等の丸写しはだめである。
また、理想的なことを規定に書けば良いと言うものでもない。
規定したからには、それを遵守していかなければ何の意味も無い。
実施できないことを規定しても何の意味もない。
安全管理策で言えば、貴社において実施可能なものを具体的にキチット規定し、それを徐々に改善して行けば良いのである。
このような規定や手順書に加えて、「個人情報保護遵守マニュアル」のようなものを作り、全員に配布し、業務を実施する者は常にそれを参照しながら業務を遺漏なきように実施する、という方法もある。
話は変わるが、ISO9001において、「品質マニュアル」というものが定義されており、それが上位規定となっているが、一般には「マニュアル」は仕事の
手順について事細かく記述したものを示す場合が多く、規定には考え方や概説的な手順だけが定められることが多く、規定の定めに基づいて、更に細かい手順に
ついて、注意事項やポイント等も含めて文書化されたものがマニュアルという位置づけである。
「個人情報保護遵守マニュアル」はそのような位置づけのマニュアルとして考えていただきたい。
さて、ここで再び「安全管理策」について考えてみたい。
「安全管理策」は、世の中にある教科書やテンプレートを持ってきて、それを自社の規定として纏めれば良い、というものではないことは上に述べたとおりである。
安全管理策はリスク分析の結果として出てくるものであり、貴社として必要・充分な項目、レベルで設定すべきものである。
確かに、リスク分析において、完全には詳細に詰めきれず、漏れがでることが多く、世の中にある教科書やテンプレートの方が一般的な安全管理策を漏れなくカバーしている場合もある。
しかし、それらは参考に留め、一度自分たちで咀嚼して理解した上で、必要な部分を取り込んで行くべきである。
また、上記したように、理想的なことを書けば良いと言うものでもないことに留意すること。
このような、安全管理に対する規定や手順書をどの程度の詳細さで準備したら良いのであろうか?
結論から言えばなるべく詳細に、であり、また、必ず文書化する必要があることは今まで述べてきたとおりである。
貴社で守らなければならないことは、必ず文書化し、全従業者に周知し、従業者のだれもが同じ認識の下で、事に当たっては同じ行動が取れるようにすることが必要である。
このことにより、新入社員や、短期契約の従業者が加わった場合にも、個人情報の取扱いを伴う業務の実施上で遵守しなければならないルールを明確に示すことが出来る。
ちなみに、経済産業省のガイドラインの「組織的安全管理措置」では「組織的安全管理措置とは、安全管理について従業者の責任と権限を明確に定め、安全管理
に対する規程や手順書を整備運用し、その実施状況を確認することを言う」としており、「②個人データの安全管理措置を定める規程等の整備と規程等に従った
運用」を要求している。
ここで、一般的ではあるが、標準化(手順、規定、基準等を作成すること)を行い、また文書化することによるメリットを示しておきたい。
①行動、判断の同一化が図れると共に、行動に一貫性を持たせることが可能になる。
②従業者が行なわなければならないことが明確になり、業務の実施において齟齬が発生することを減少させる。
③決め事やルールがあいまいな場合、個々の勝手な判断に陥り、悪意を持った社員がいれば不正が起きる可能性も高まる。
④文書化しておくことで、企業文化、職場の文化(行動規範)としての継承が容易になる。
⑤文書化することで、目に見えるようなる。
だれでも分かる様になる、新入社員でもわかる。
自社の基準、考え方を外部の人に理解してもらえる。
⑥文書化しておくことで、それを使って適切な教育・訓練の実施が可能となる。
⑦改善の基礎(ベース)が明確になる。
たまたま上手くいっているでは、その時の基準も条件もあいまいで再現性がない。
どういうルールが決められており、それを実施してどのような問題が起こったのか、旨く行ったのか、すなわち実施ルールを明確にしておくことで、それを実施しての善し悪しが明確になり、それをベースとした改善が可能となる。
逆に、遵守すべきルール(決め事)が明確で無い状況で事故が起こった場合は、改善が困難になる。
⑧事故が起こった場合に客観的な説明が可能となる。
どういうルールが決められており、それを実施してどのような問題が起こったのかを明確に示すことができ、少なくとも説明責任は果たすことができる。
⑨内部監査の基準となる。
―前述-
次に、ルール(決め事)を正しく決めることの重要性を、何かトラブルが発生する場合から考えて見よう。
一般的には、トラブルが発生する裏には、下記の状況がある。
①ルール(決め事)が決められていない
②ルール(決め事)は決められているがルール(決め事)自体が不適切である
③ルール(決め事)を守っていない
(1) ルール(決め事)が決められていない
何故ルール(決め事)が決められていなかったのかという原因の追究も必要であるが、最終的にはルール(決め事)が作成され、皆がそれを守って仕事をしてゆけば、事故が発生する確率は大幅に減ることになる。
(2) ルール(決め事)は決められているがルール(決め事)自体が不適切である
当然、このような事態に陥ってしまった根本原因の追究は必要であるが、対策としてルール(決め事)が改訂(改善)されることになる。
ルール(決め事)自体が不適切な場合としては、規定を制定した当時は良かったが、環境が変化し、規定されている内容が実態とは離れてしまう場合もある。
これは、リスク分析の見直しが行われていない、規定の見直しが行われていない、従って規定の内容が実態と合わない、よって規定による運用できなくなっているという状況である。
規定を運用するためには、適切な見直しが行われているということが前提になる。1年に1回は定期的な見直しが必要である。
更に、規定(手順書)に余りに理想的なことを記述してしまい、実際の運用が出来ていないという場合もある。
規定の内容を教科書やサンプルの丸写しにしている場合に良く見受けられる。このようなことは論外ではあるが、実際には多い。
(3) ルール(決め事)を守っていない。:
ルール(決め事)が守られない状況にもいろいろある。
:その本人がそのルールを知らなかった。
**教育すべきところ、教育が行なわれていなかった。
**教育は行われたが、反復教育が行なわれなかったため、本人が忘れてしまった。
**本人が勉強すべきところ、勉強をしていなかった。等々・・・
:知っていたが行なわなかった
**たまたま、ポカミスで行なうことを忘れてしまった。
・・体調不良でポカミスを起こした
**本人は役に立たないルール(決め事)だと考えていたので実施しなかった。
**知っていたが、めんどくさかったので行なわなかった。等々・・・
ルール(決め事)はただ作られただけでは意味はない。作られた規定が運用されてこそ、初めて規定の意義が生まれる。
実際に適確に実行されているか否かが問われるわけで、その為には、業務の実施上、担当者に必要以上の負担を掛けるものであってはならないし、全従業者が納得して受け入れる規定(ルール)である必要がある。
全従業者が納得して受け入れ、日常の業務において全従業者に遵守してもらう為には、教育・訓練を通しての丁寧な説明も必要になるし、理解度を確認し、理解が不足している者に対しては、再教育も必要になる。
「“実行されること”を確実にするために文書化した手順書を作成する。」という目的を達成するために、先ず、実行されなければならないことを明確に決めて、それを手順書として文書化することを忘れないでほしい。
(中小企業診断士 中村隆昭)
|