コンプライアンス・プログラムを作る：Pマーク取得への道（4）（1/4 ページ）

[直江とよみ，NECソフト株式会社]

　第3回「リスクを把握して適切な対策を講じる」では、プライバシーマーク（Pマーク）取得に向けたリスクアセスメントについて解説しました。今回は、「個人情報保護方針の策定」と「コンプライアンス・プログラムの策定」について解説していきます。

図1　プライバシーマーク取得までのスケジュール

コンプライアンス・プログラムとは何か

　「個人情報の保護に関する法律」（個人情報保護法）において、「個人情報保護方針」や「コンプライアンス・プログラム」といった記述はありません。しかし、経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、個人情報保護の体制の整備に関してプライバシーマークの審査基準となっている「個人情報保護に関するコンプライアンス・プログラムの要求事項」（JIS Q 15001）を参考資料として挙げています。

　では、コンプライアンス・プログラムとはどのようなものなのでしょう。JIS Q 15001の中では、コンプライアンス・プログラムをマネジメントシステムと読み替えることができます。

3. 定義

h）コンプライアンス・プログラム（CP）

事業者が、自ら保有する個人情報を保護するための方針、組織、計画、実施、監査及び見直しを含むマネジメントシステム。

つまり、コンプライアンス・プログラムとは個人情報を保護するための一連の仕組みすべてとなります。個人情報を保護するためには、

1. 個人情報保護方針を策定し、文書化し、公表する
2. 個人情報保護体制を構築する
3. 個人情報保護のための各種計画を立てる（教育・監査などを含む計画策定）
4. 個人情報保護活動を実施する
5. 内部監査を行う
6. 是正処置、見直しを行う

といった組織的な仕組みが必要です。また、これらの活動は、監査・見直しを通じて改善を行うマネジメントシステムとして、継続的なものでなくてはなりません。

　コンプライアンス・プログラムの文書体系は、以下のような三角形で表現されます。

図2　コンプライアンス・プログラムの文書体系

　組織として確実に個人情報保護活動を実行するためには、個人情報保護方針に基づき、内部規程や手順書を整備することが必要となります。そして、個人情報保護活動においては各種帳票類を作成するなど、活動の記録を取ることが求められます。一連の組織的な継続的活動を、明確に文書化することによって、確実に行われるようにするのがコンプライアンス・プログラムの役割です。

図3 プライバシーマーク運用のためのPDCAプロセス