プライバシーマークで求められる個人情報保護方針ってどんなものですか?

プライバシーマーク(以下、Pマーク)を取得する際には必ず「個人情報保護方針」というものを作成する必要があります。

 

最近はPマーク云々関係なく様々な会社で個人情報保護方針(プライバシーポリシー)を作成していますが、Pマーク取得を目指す上ではどんな内容でもOKというわけではありません。

 

今回はPマークで必要になる個人情報保護方針について規格であるJISQ15001:2017の内容も踏まえて触れていきます。

 

個人情報保護方針とは

そもそも個人情報保護方針はなんなんでしょうか。

結論を言ってしまうと、会社としての個人情報の取扱について宣言した文書になります。

会社がどんな考えを持って、個人情報を扱いうのか、どのように管理をするのかを謳った文書になります。

 

また、こういった文書は単に作っていても意味がありませんので、社内外に周知をはかるためにもWebサイトに公表したり、オフィスに掲示したりして周知を行います。

 

社外の人からすると会社がどんな考えを持っているのか知るためのものになりますし、従業員の方々からすると自分たちがどうすべきかを知るための文書にもなります。(遵守すべき具体的なルールは個人情報保護方針に記載することはありませんが・・・)

 

 

内部向け個人情報保護方針

Pマークでは規格であるJISQ15001:2017附属書Aにて「内部向け個人情報保護方針」と「外部向け個人情報保護方針」を分けて記述しています。

A3.2.1である内部向け個人情報保護方針では

 

  1. a) 事業の内容及び規模を考慮した適切な個人情報の取得,利用及び提供に関すること[特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下,“目的外利用”という。)を行わないこと及びそのための措置を講じることを含む。]。
  2. b) 個人情報の取扱いに関する法令,国が定める指針その他の規範を遵守すること。
  3. c) 個人情報の漏えい,滅失又はき損の防止及び是正に関すること。
  4. d) 苦情及び相談への対応に関すること。
  5. e) 個人情報保護マネジメントシステムの継続的改善に関すること。

※JISQ15001:2017附属書Aから一部抜粋

 

上記のような文言が書かれています。

つまり個人情報保護方針には上記a)~e)を文書に書いて個人情報保護方針を作る必要があるわけです。

 

これらの内容をできるだけコンパクトにまとめ自社の文章として仕上げていくことがポイントになります。

特に「事業の内容及び規模を考慮した適切な個人情報の取得,利用及び提供に関すること」などは会社の特色が出る部分になります。

 

外部向け個人情報保護方針

JISQ15001:2017附属書Aではもう1つ「外部向け個人情報保護方針」があります。

これは外部に公表する個人情報保護方針についてのプラスアルファの要求になり、下記をプラスすべきと書かれています。

 

  1. a) 制定年月日及び最終改正年月日
  2. b) 外部向け個人情報保護方針の内容についての問合せ先

※JISQ15001:2017附属書Aから一部抜粋

 

いつ制定・改訂されたものか、問い合わせ先を明確にする。などが必要になります。

 

また、規格内には「一般の人が入手可能な措置を講じること」と記載されています。

HPに掲載するなど、外部の人たちに周知するための対応をしなければならないことまで求められています。

 

 

個人情報保護方針1つとってもなんでもOKなわけではありません。

ちゃんと規格と自社の内容を合わせて作成する必要があるので、注意が必要になります。