eラーニングマガジンに関するお問合せ、ご質問等は下記までご連絡ください。
eラーニングマガジン編集部
elmag2@nextet.net |
|
|
既に説明しましたように、「コンプライアンス・プログラム」というのは個人情報保護における計画・実行・チェック・改善行動(PDCA)のマネジメントシステムです。そして、プライバシーマーク取得にあたっては、これらを文書化して規程類を策定することになるわけですが(コンプライアンス・プログラム文書(諸規程類))、コンプライアンス・プログラムはJISQ15001を基準に、また自社に関係する業界ガイドラインを参考に策定することになります。
プライバシーマーク付与機関である(財)日本情報処理開発協会(JIPDEC)や認定指定機関である(社)日本マーケティング・リサーチ協会などのホームページには、すべてではないにしても、諸規程類のモデルが掲載されていますので、これらを参考にすると良いでしょう。
ここで注意しなければならないのは、JISQ15001や前回紹介した「業界で定めた個人情報保護ガイドライン(業界ガイドライン)」には、個人情報を保護するための考え方や注意点は書かれているものの、肝心の「どのように個人情報保護を実践するか」ということについては全く書かれていない、ということです。ですから、コンプライアンス・プログラム文書のたたき台を作成するにあたっては、これらのガイドラインに則った上で、個人情報保護についての具体的な実践方法に関するルールを、詳細な実務レベルで定める必要があります。
|
■コンプライアンス・プログラム文書全体の構成 |
|
コンプライアンス・プログラム文書は、個人情報保護方針を頂点に階層を構成する形態で作成します。そして、この最高の上位概念である個人情報保護方針を受け、基本となる規程である個人情報保護規程を作成し、その後、この個人情報保護規程を補足する諸規則・細則や個人情報保護規程の運用のためのマニュアルを作成することになります。また、個人情報保護規程の実際の運用に際しては、現場レベルでの申請等に使用される様式類なども作成する必要があります。
ですから、実際の作成にあたっては、基本スキームを設計するのがよいでしょう。基本スキームは、まずは個人情報保護方針、そして次に、個人情報保護規程である全社基準規程(スタンダード)、個人情報保護規程を補足する詳細や諸規則などのマニュアル、実践で使用する様式類(フォーム)を、この順で作成し、個人情報保護方針を頂点とする階層が自然に構築されるようにするわけです。
次に、コンプライアンス・プログラム文書の頂点となる個人情報保護方針について、少し詳しく説明することとしましょう。 |
|
■個人情報保護方針について |
|
個人情報保護方針は個人情報保護ポリシーと呼ばれることもありますが、自社の個人情報保護の取り組み姿勢を文章化して、会社の内外に知れ渡るようにしたものです。この個人情報保護方針の作成にあたり、JISQ15001では以下の必要事項を盛り込むことが決められています。 |
|
(1) 事業に即した個人情報の適切な収集・利用・提供についての原則
個人情報を収集する場合には、目的を明らかにし、かつ、本人の同意を得た上でないと収集を行うことはないということを宣言します。そして、収集目的以外の用途に使うことはないことも明言します。 |
|
(2) 本人の権利の尊重
個人情報の所有者(情報主体)からの情報開示や訂正・削除要求は、社会通念や慣行に照らし合わせて、妥当な範囲で実行することを宣言します。 |
|
(3) 個人情報の適正な管理を行うことの宣言
個人情報は厳格に管理し、個人情報への不正アクセス、個人情報の紛失、破壊、改ざんおよび漏洩などに対する予防ならびに是正することを宣言します。 |
|
(4) 個人情報に関する法令およびその他の規範、業界ガイドラインの遵守の宣言
個人情報を取り扱うことについて定めているJISQ15001やこれに関連する各種法令、業界ガイドラインを遵守することを明言します。 |
|
(5) コンプライアンス・プログラムの継続的改善に関することについての宣言
自社のコンプライアンス・プログラムについては、常に見直しや改善を行い、社会から要請されている個人情報保護が効果的に実施されるように、維持・改訂・改善を行うことを宣言します。 |
|
(6) 本人からの問い合わせに対する窓口設置の説明
情報主体がいつでも当社に対して連絡をとることができる窓口を設置していることを、具体的な電話番号やFAX番号、e-mailアドレス等を明示して、示します。 |
|
|
現在では、既にさまざまな会社がWWWサイトで自社の個人情報保護方針(個人情報保護ポリシー)を公開していますので、参考にしてみると良いでしょう。
なお、個人情報保護方針を掲載するときには社長名で行います。そして、当該企業の社員(派遣社員やアルバイト、パートを含む)に周知するとともに、ホームページへの掲載などにより一般の人が確認・入手できるようにしなければなりません。
ここで、個人情報保護方針は、社員にとっては、個人情報保護に関する拠り所となるものです。個人情報保護方針を「文書化」して社員に周知するのはこのためで、これを徹底するためには、社員の目につく場所に数ヶ所掲げる必要があることもあるでしょう。そして、これらの規程類の社内の位置づけおよび社員に対する拘束性を持たせるために、取締役会に諮るなどの手続きを経ることになるでしょう。 |
|
|
|
|