プライバシーマーク、個人情報マネジメントシステムの文書化/内部規定の作成
今回(5回目)のコンサルティングでは、作成中の資料の見直しを行い、「個人情報に関する本人の権利に関する規定」の説明をしていただきました。前回書いた記事に作成中の資料の内容は記載したので、ここでは規定の内容を少し説明したいと思います。
連載記事:
- 第1回 プライバシーマークって本当に必要なの?
- 第2回 プライバシーマークを取得するために
- 第3回 プライバシーマーク、個人情報マネジメントシステムの文書化/内部規定の作成
- 第4回 プライバシーマーク、必須の社内教育・研修
- 第5回 プライバシーマーク文書の整理と新たな規定
- 第6回 プライバシーマークを取得していない企業に委託するのは面倒??
- 第7回 プライバシーマーク文書のまとめと社内でおこなった内部監査
- 第8回 プライバシーマークを取得しました!!
個人情報マネジメントシステムの文書化
日本工業規格(JIS)が作成した 「JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項」中で、個人情報マネジメントシステムを明確に把握するために文書化する、ということが記載されています。その中の1つが内部規定で、なんと15種類ほど作成しなくてはなりません。
今回は、その内部規定に含まれる「個人情報に関する本人の権利に関する規定」について、コンサルタントの方より説明が行われました。下記の図が、「JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項」に記載されている文書体系の概略です。
このピラミッド型の文書体系に記載されている文書を、現在、少しずつ作成している状況です。文書体系の1段目に書かれている「個人情報保護方針」は、以前の記事「プライバシーマークを取得するために」で書いたプライバシーポリシーにあたり、完成している部分です。
文書体系の3段目にあたる内部規定は、薄いものもあれば、随分と厚みがあるものもあります。これらをゼロから作成するのは非常に大変ですが、弊社ではコンサルティングを受けているので、コンサルタントの方に作成していただいたものをベースとして、弊社に合わせて多少の修正を行う程度です。とはいっても内容を理解しなくてはならないので、頭を抱えたり、チョコレートを食べたりを繰り返しています。
個人情報に関する本人の権利に関する規定
「個人情報に関する本人の権利に関する規定」は文書体系からもわかるように、実施及び運用の内部規定の1つになります。
この規定は、本人の権利を保護する規定です。目的は、本人から開示、訂正、削除の要求があった場合と苦情及び相談等の対応になります。
本人権利管理規定から、必要になる書類は2つあります。
- 開示請求・問い合わせ 結果通知書
- 窓口対応記録
このように、問い合わせや苦情があった際に、書面でのやりとりをして、記録を残します。また、クレーム処理の仲介をしてくれる団体があると聞きました。これは、申し込んでおいたほうが良いですね。 (JIPDECの認定個人情報保護団体)
とにかく、規定は何度も読んで少しづつ理解していくしかありません。「JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項」の資料を片手に規定を読む時は、頭を抱えるだけではなく、睡魔が襲ってくるので、清涼菓子のミ〇ティアが手放せません。
次回は社内教育・研修
次回のコンサルティングでは、社内教育・研修を行います。その他に資料の見直しと、安全管理措置について、新たに3種類の内部規定の説明が行われます。難しい漢字が羅列してある規定の名前を見るだけで、ぞっとしますが、地道にがんばっていきたいと思います。
連載記事: