内部規程
内部規程とは?
個人情報保護における「内部規程」とは個人情報を安全に取り扱うための社内ルールのことです。
当然ながら個人情報保護の取り組みは行うと決めたことを事業者内で実行してはじめて意味を持ちますが、行うべきことを社内の全員が正しい理解に基づいて実行するためにはルールが必要となります。
プライバシーマーク(Pマーク)の規格であるJIS Q 15001には確かに個人情報保護に必要な活動が書かれていますが、それはあくまでおおまかな原則であって、具体的なルールではありません。細かなルールはそれぞれの事業者が自社の状況に応じて決めるべきなのです。内部規程が必要なのはそのためです。
プライバシーマーク(Pマーク)の定めるところによると、個人情報保護に取り組む事業者は最低でも次の点についての内部規程を定める必要があります。
社内の責任と権限の割り当てについて
個人情報を特定する方法について
リスクを分析して対策を立てる方法について
個人情報保護に関係する法律を特定することについて
個人情報の取得、利用、提供について
個人情報の管理について
お客様本人から個人情報に関して要求があった場合の対応について
苦情の対応について
従業員などの教育について
監査について
ルール違反があった場合の罰則について
マニュアルなどの文書の管理について
事故の対応について
代表者による見直しについて
少なくとも以上の事柄に関するルールは必要となりますが、必ずしもこのタイトルのものをこの数だけ作らなければならないわけではありません。小さな会社であればいくつかのルールを一つの内部規程にまとめることもできるでしょうし、プライバシーマーク(Pマーク)を取る前から会社として持っているルールがあれば、内容に問題ない限りそれを引き続き使うこともできるでしょう。
また文書にするときの形式も、必ずしも法律の条文を真似なければならないわけではありません。図や表を使ってルールを示す方法をとっても構いません。
それに必ず書類で作成するという決まりもありませんから、データで作成したほうがよいと判断する事業者があっても、それはそれで問題ありません。
だれが個人情報保護の内部規程を作成するのでしょうか。プライバシーマーク(Pマーク)の活動の責任者である「個人情報保護管理者」やプライバシーマーク(Pマーク)の業務を担当する「PMS策定チーム」が率先すべきことはもちろんですが、社内のほかのメンバーも協力する必要があります。それぞれのルールに特に関係する部署の責任者や従業員もルール作りに参加するなら、できあがった内部規程は現実的で実行しやすいものとなるに違いありません。
事業者は作成した内部規程がプライバシーマーク(Pマーク)の要求と合っているか確認しなければなりません。また定期的に見直してより良いものに作り替えていく必要があります。