8月
07

プライバシーマーク、個人情報マネジメントシステムの文書化/内部規定の作成

category 7. 仕事環境  

今回(5回目)のコンサルティングでは、作成中の資料の見直しを行い、「個人情報に関する本人の権利に関する規定」の説明をしていただきました。前回書いた記事に作成中の資料の内容は記載したので、ここでは規定の内容を少し説明したいと思います。

個人情報マネジメントシステムの文書化

日本工業規格(JIS)が作成した 「JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項」中で、個人情報マネジメントシステムを明確に把握するために文書化する、ということが記載されています。その中の1つが内部規定で、なんと15種類ほど作成しなくてはなりません。

今回は、その内部規定に含まれる「個人情報に関する本人の権利に関する規定」について、コンサルタントの方より説明が行われました。下記の図が、「JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項」に記載されている文書体系の概略です。bunsho0804

このピラミッド型の文書体系に記載されている文書を、現在、少しずつ作成している状況です。文書体系の1段目に書かれている「個人情報保護方針」は、以前の記事「プライバシーマークを取得するために」で書いたプライバシーポリシーにあたり、完成している部分です。

文書体系の3段目にあたる内部規定は、薄いものもあれば、随分と厚みがあるものもあります。これらをゼロから作成するのは非常に大変ですが、弊社ではコンサルティングを受けているので、コンサルタントの方に作成していただいたものをベースとして、弊社に合わせて多少の修正を行う程度です。とはいっても内容を理解しなくてはならないので、頭を抱えたり、チョコレートを食べたりを繰り返しています。

個人情報に関する本人の権利に関する規定

「個人情報に関する本人の権利に関する規定」は文書体系からもわかるように、実施及び運用の内部規定の1つになります。

この規定は、本人の権利を保護する規定です。目的は、本人から開示、訂正、削除の要求があった場合と苦情及び相談等の対応になります。

本人権利管理規定から、必要になる書類は2つあります。

  • 開示請求・問い合わせ 結果通知書
  • 窓口対応記録

このように、問い合わせや苦情があった際に、書面でのやりとりをして、記録を残します。また、クレーム処理の仲介をしてくれる団体があると聞きました。これは、申し込んでおいたほうが良いですね。 (JIPDECの認定個人情報保護団体

とにかく、規定は何度も読んで少しづつ理解していくしかありません。「JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項」の資料を片手に規定を読む時は、頭を抱えるだけではなく、睡魔が襲ってくるので、清涼菓子のミ〇ティアが手放せません。

次回は社内教育・研修

次回のコンサルティングでは、社内教育・研修を行います。その他に資料の見直しと、安全管理措置について、新たに3種類の内部規定の説明が行われます。難しい漢字が羅列してある規定の名前を見るだけで、ぞっとしますが、地道にがんばっていきたいと思います。




■ コメント

  1. 私も今回自社でPマークを取得するのに何も知識がないままPマーク取得の担当をやっているのですが、
    そんなに規程を沢山作られているのですね。。。
    ビックリです。

    私の会社は15名ほどのシステム会社なのですが、規程は1冊でやってます。
    そんなに個人情報もないですし、規程が何冊もあると管理がしんどいので。。。
    入ってくれてるコンサルさんも同意見で「個人情報がすごく多いところは細かい手順書が必要ですが、個人情報がそんなに多くないのであれば、規程は1冊で十分です」と仰っていました。ページ数は大体50ページ弱です。

    また、うちの会社も5月の下旬くらいからコンサルさんに入ってもらってスタートしたのですが、7月の3連休明けに申請しました。

    うちの会社を手伝って頂いているコンサルさんは20代でまだ若い方
    ですが、すごく合理的で説明が分かり易く噛み砕いて説明してくれるので
    1回のコンサルが2時間強で約5回のコンサルで申請まで行えましたし、私自身も大分Pマークを取るのにどういったことを理解しておかないといけないのか理解出来ました。
    ちなみにあのJISQ15001:2006は参考書代わりで読むものではないそうですw

    最近、コンサルさんから聴いたのですが、JIPDECが最近込み合っているらしく8月中に出さないと新規取得で年度内に取得するのがJIPDECでは難しい可能性があるとのことでした。
    そのあたりに関して担当のコンサルの方はどのように見ているのか確認された方がいいと思いますよ。

    いろいろ大変でしょうが頑張って下さいね。

    コメント by ゲスト — 2008年08月16日 土曜日 @ 22:46:09

  2. コメントどうもありがとうございます。同じPマーク取得の担当者さんからで、とても嬉しいです。

    規程を1冊にまとめてしまうことも可能なんですね。そして、申請までもかなり早いですね。
    どのようなコンサルティングを受けていたのか、とても興味があります。

    8月中に出さないと新規取得で年度内に取得するのがJIPDECでは難しい可能性があるなんて、知りませんでした。弊社では、申請を9月上旬に予定しているので、コンサルタントの方に確認してみます。

    貴重な情報をありがとうございました。またアドバイスや情報がありましたら、ぜひお願いします。

    お互い取得に向けて頑張りましょう。

    コメント by ポル — 2008年08月19日 火曜日 @ 10:20:57

  3. プライバシーマークの取得を任せれた者です。

    どちらのコンサルティングを受けていたのか、メールにてご連絡いただけないでしょうか?

    コメント by SK — 2008年10月23日 木曜日 @ 16:17:31


■ コメントをどうぞ

« やっぱり苦労するC言語のNULL文字’¥0′
Javaでスレッドを使う際の注意点 »


 
この日記のはてなブックマーク数

投稿者

  • 51
    51

    この業界に入って1年と少し。。 まだまだ日々勉強です。


  • char
    char


  • koreadays
    koreadays

    韓国をこよなく愛す、ヒゲSE。


  • orifu
    orifu

    悩んでいます。


  • otaka
    otaka


  • paper
    paper


  • ya-yo
    ya-yo


  • YOU
    YOU


  • うめ
    うめ


  • エラモサウルス
    エラモサウルス


  • ナカニシ
    ナカニシ

    いつも何かに悩まされています。


  • ポル
    ポル


開発者向けサイト

NTTドコモ
作ろうiモードコンテンツ
KDDI au
EZfactory
SoftBank
MOBILE CREATION
イー・モバイル
技術情報
WILLCOM
コンテンツサービス