コンプライアンス・プログラムを作る:Pマーク取得への道(4)(2/4 ページ)
個人情報保護方針の策定
個人情報保護方針の策定は、個人情報保護法で規定された義務ではありませんが、経済産業省のガイドラインには「望ましい事項」として記述されています。
V.個人情報取扱事業者がその義務等を適切かつ有効に履行するために参考となる事項・規格
個人情報取扱事業者は、その事業規模及び活動に応じて、個人情報の保護のためのコンプライアンス・プログラムを策定し、実施し、維持し及び改善を行うことが望ましい。
(中略)
また、個人情報取扱事業者は、以下の事項を参考として、「個人情報保護に関する考え方や方針に関する宣言(いわゆるプライバシーポリシー、プライバシーステートメント等)」を策定し、ウェブ画面への掲載等により公表することが望ましい。
プライバシーマーク取得を目指す企業はもちろんですが、法順守という観点からも、個人情報保護方針を策定しましょう。
では、JIS Q 15001の個人情報保護方針に関する要求事項を見てみましょう。
4. 2個人情報保護方針
事業者の代表者は、次の事項を含む個人情報保護方針を定めるとともに、これを実行し維持しなくてはならない。事業者の代表者は、この方針を文書化し、役員及び従業員に周知させるとともに一般の人が入手可能な措置を講じなくてはならない。
a)事業の内容及び規模を考慮した適切な個人情報の収集、利用及び提供に関すること。
b)個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなどの予防並びに是正に関すること。
c)個人情報に関する法令及びその他の規範を順守すること。
d)コンプライアンス・プログラムの継続的改善に関すること。
ここでは、「文書化する」「役員及び従業員に周知させる」「一般の人が入手可能な措置を講じる」ことが求められています。日本情報処理開発協会(JIPDEC)発行の「プライバシーマーク制度における監査ガイドライン」を参照して、JIS Q 15001の要求事項が意図する内容をより具体的に見てみましょう。
まず、従業員についてですが、個人情報保護方針の「解説」という形で、「正社員だけでなく、派遣社員、非常勤職員を含む」と書かれています。方針の周知だけでなく、教育の対象となる従業員にも、派遣社員や非常勤職員を含むようにしましょう。
4. 2 個人情報保護方針
(解説)
方針の文書化には、サーバーなどの電子的な方法も含む。“従業員”には正社員だけでなく、派遣社員、非常勤職員を含む。
次に、「一般の人が入手可能な措置」についても「参考」という形で記述があります。事業的に多くの顧客や取引先が、自社のWebサイトを見ていることが考えられる場合、そこへの掲載は周知に効果的であるといえます。
4. 2 個人情報保護方針
<参考>
一般の人が入手可能な措置
事業者が、個人情報保護方針を社員に告知する通知文を、外部の人が最低限入手できる措置であり、事業者のホームページによる公開、会社案内への掲載、通知文を記載したチラシの配布などが考えられる。
個人情報保護方針の内容は、JIS Q 15001の要求事項に書かれている内容を網羅することが最低条件ですが、それ以外の内容を盛り込んでも構いません。企業の個人情報保護に対する指針がそれを読む人に伝わることが大切です。業種団体などからも業界にあった個人情報保護方針のサンプルが公開されていますので、参考にするとよいでしょう。
【参考:NECソフト個人情報保護方針】
http://www.necsoft.com/notice/privacy.html
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。