コンプライアンス・プログラムを作る：Pマーク取得への道（4）（3/4 ページ）

[直江とよみ，NECソフト株式会社]

コンプライアンス・プログラムの策定

　コンプライアンス・プログラムとはマネジメントシステムそのものを表しますので、簡単にいうとJIS Q 15001に書かれていることがすべてとなります。当然、内部規程だけでなく、教育・監査といった組織的活動およびそれらの計画書・報告書なども含まれます。JIS Q 15001の要求事項の中で、文書化が求められるものについては、文書として作成することが必要です。

　明確に文書化しなければならない内部規程は、以下のような要求事項を満たしている必要があります。

4. 3. 3 内部規程

　事業者は、個人情報を保護するための内部規程を策定し、維持しなければならない。内部規程は、次の事項を含まなければならない。

a）事業者の各部門及び階層における個人情報を保護するための権限及び責任の規定。

b）個人情報の収集、利用、提供及び管理の規定。

c）情報主体からの個人情報に関する開示、訂正及び削除の規定。

d）個人情報保護に関する教育の規定。

e）個人情報保護に関する監査の規定。

f）内部規程の違反に関する罰則の規定。

　事業者は、事業の内容に応じて、コンプライアンス・プログラムが確実に適用されるように内部規程を改定しなければならない。

　また、監査ガイドラインでは、内部規程の維持管理として、文書管理について触れていますので、文書管理ルールを定めることも必要です。

4. 3. 3 内部規程

2. 内部規程の維持管理

　内部規程は文書化し、管理ルール（更新、保管、廃棄等）を定めていること。

　なお、文書化についてJIS Q 15001では、特にどのようにまとめるかについての要求事項はありません。１つの文書「個人情報保護マニュアル」としてまとめてしまうのもよいでしょうし、何について定めたのかが明確になるように分割してもよいでしょう。規程類を分割した場合の例を挙げてみます。

個人情報保護管理規程	個人情報保護方針、組織体制、順守すべき法令など
個人情報特定・収集規程	個人情報を収集するときのルール
個人情報利用・提供規程	個人情報を利用、第三者提供するときのルール
個人情報安全管理規程	個人情報を安全に管理するための安全管理措置について
個人情報お客さま対応規程	開示・訂正・削除要求や苦情処理について
個人情報教育規程	従業員教育について
個人情報内部監査規程	内部監査、是正措置、見直しなど
個人情報緊急対応規程	緊急事態の際の手順
個人情報文書管理規程	個人情報に関する規程や帳票類の文書の採番などについて
個人情報外部委託管理規程	個人情報を外部業者へ委託する場合について

　では、「文書化」という記述がないものは、文書にする必要がないのでしょうか。例えば、JIS Q 15001の要求事項の中には、「××の手順を確立し、実施し、維持しなければならない」という記述があります。ここから文書化について考えてみましょう。

1．「手順を確立する」

　手順を確立するということは、業務手順（ルール）を定めてそれを文書化する、と考えることができます。組織的な活動が求められるマネジメントシステムの中では、担当者任せの業務手順は「手順を確立した」ということにはならないのです。

　個人情報保護の観点から適切な手順を検討し、決定したルールを文書化することをもって、「手順を確立した」といえます。もし、現在の作業が担当者任せであっても、その業務手順に問題がなければ、それを今後のルールとして採用することも問題ありません。

　ここで気を付けなければならないのが、文書化した内容が守られなければ意味がないということです。「規程」の中で定めるルールは、基本的に全社に適用できるルールである必要があります。業務ごとにより具体的な手順書が必要となる場合もありますが、それは業務手順書として別途作成した方がいいでしょう。

2．「実施する」

　定められたルールどおりに運用することが求められています。これを証明するためには、報告書などの帳票が大きな意味を持ちます。ルールを定める際には、適切に実施されたことを確認できる手順も考慮しましょう。

3．「維持する」

　個人情報保護活動を維持していくことが求められています。実施したことについて実施状況を確認し、見直し、必要があれば改善をします。

　内部規程は、プライバシーマーク審査の文書審査の対象となります。上記のような「手順を確立する」「実施する」「維持する」といった要求事項に関する記述を、文書中に表現しなくてはなりません。文書を作成する際には、JIS Q 15001が何を要求しているのかを理解し、それを満たす文書とすることが必要です。