特集1

■スタンダード、マニュアル、フォーム

　全社の標準ベースとなる個人情報保護規程は抽象的な表現となることが多いため、規程だけを形式的に作成するのではなく、実践運用において活用できる、具体的な行動レベルまで落とし込まれた詳細規程、運用マニュアル、書式類（フォーム）の策定が必要となります。
　例えば、個人情報保護基本規程に対して、個人情報保護規程細則やさまざまな様式類で具体的に示すことなどが必要です。
　「スタンダード」というのは、個人情報保護におけるさまざまな場面に対し、全社共通の基本原則を構成する「個人情報保護規程」であり、支店や営業所を持つ企業においても基準・標準となるものです。
　「マニュアル」というのは、現場の実務レベルに落とし込んだ部分を構成し、規定する詳細規程（運用マニュアル）であり、具体的には収集の規定、入退出管理規程などが相当します。支店や営業所などは、業務にあったマニュアルをそれぞれ作成することになります。
　「フォーム」というのは、担当部署・担当者の行動部分を構成し、書式化する書式類であり、各種様式、各種記録用紙などです。マニュアル同様、支店や営業所などは業務にあったフォーム（様式）をそれぞれ作成することになります。

■現状把握

　コンプライアンス・プログラム文書の策定にあたって必要なこれらの諸規定を作成するためには、まず、現状調査と分析をし、現状の把握をしなければ全ては始まりません。現状把握を適切に行うためにも、個人情報の特定、業務フロー、入退館状況、システム環境などを調査する必要があります。

■個人情報の特定

　社内でどのような個人情報を保有しているかを特定する具体的な手法が、「個人情報の洗い出し」ということになります。これは社員一人ひとりが普段行っている業務のなかに、どのような個人情報があるかを業務単位で評価するもので、電子計算機（コンピュータ）を使用してデータ処理を行っている業務に従事している社員について、個人情報の入手経路や媒体、個人情報の保存媒体・保管方法・保管場所などをリストアップすることから始まります。
　ところで、プライバシーマーク取得にあたっては、自社が、あるいは社員一人ひとりがどのような個人情報を取り扱っているかを洗い出す必要があります。個人情報を漏れなく洗い出すためには、事前に「個人情報洗い出しシート」を作成し、個人情報を取り扱っている社員に配布し、記入してもらうかたちで個人情報を洗い出すのが有効です。
　ここでの留意点は、個人情報の洗い出し後、その一つひとつに対し、リスク度を明確にするリスク評価を行うこと、さらに忘れてならないのが、その情報の保管期間および廃棄の方法を明確にすることで、業務フローが作成されていれば、この点を明確にできます。

■リスク分析と業務フローの作成、状況調査

　脆弱度×重要度でリスク度をはかることにより、リスク分析を行います。リスク値の高いものは対策が必要になり、リスク値により要求される保証度合いを応じた対策案を検討することになります。
　個人情報の洗い出しとともに、その個人情報がどのような形態で自社に入り、それをどのように利用し、または加工・利用し、または預託し、そしてどのように自社から出て行くのか、あるいは廃棄されるか（それを何年保管し廃棄しているか）をフロー図で表します。これにより、個人情報を取り扱う社員に対して改めて注意を促すことになります。
　入館（室）者、退館（室）者の記録が残されているかという入退館（室）管理状況、サーバー室は施錠管理されているか、またサーバー室への入室、退室者の記録が残されているかといったサーバー室管理状況などを調査し、末端に至るＰＣシステム内容の調査なども行います。

■ギャップ分析の実施とたたき台の作成

　現状分析終了後、調査結果とJISQ15001要求事項とのギャップを分析します。このギャップを埋める方策を講じることが次のステップとなります。具体的には、このギャップ分析結果を活かし、コンプライアンス・プログラム文書（諸規程類）のたたき台の作成を行っていくことになります。
　たたき台を作成するに際して、現存の規定の中でそのまま使えるものは、そのままコンプライアンス・プログラム文書（諸規程類）のたたき台の中に取り込み、修正が必要なものは修正した上で取り込みます。あとは、追加が必要なものを追加して、コンプライアンス・プログラム文書（諸規程類）のたたき台が完成することになります。