Pマークを取得するには、JIS規格およびJIPDECのガイドラインに合致した「個人情報保護方針」にしなければなりません。
特に、JIPDECのガイドラインに合致していなければ審査において不適合となります。
これらの注意点を次にまとめますので参考にして下さい。
まず、Pマーク審査員が不適合とする注意箇所を赤文字で示し、ページ後半で説明します。
JISQ15001:2006の要求事項
3.2 個人情報保護方針
事業者の代表者は,個人情報保護の理念を明確にした上で,次の事項を含む個人情報保護方針を定めるとともに,これを実行し,かつ,維持しなければならない。
- 事業の内容及び規模を考慮した適切な個人情報の取得,利用及び提供に関すること(特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下,”目的外利用“という。)を行わないこと及びそのための措置を講じることを含む。)。
- 個人情報の取扱いに関する法令,国が定める指針その他の規範を遵守すること。
- 個人情報の漏えい,滅失又はき損の防止及び是正に関すること。
- 苦情及び相談ヘの対応に関すること。
- 個人情報保護マネジメントシステムの継続的改善に関すること。
- 代表者の氏名
JIPDECガイドラインの要求事項(ガイドラインの30-33ページ)
- 個人情報保護の理念を明確にしていること。
- 個人情報保護に取り組む姿勢や基本的考え方を、事業の内容と絡めて記述していること。
※「個人情報保護の理念」とは、何のために個人情報保護活動を行うかであり、それは当然事業内容に絡むはずである。例えば「〇〇事業を行うために、△△に努める」という関係があるであろう。 - a.について記述していること
- 個人情報保護方針の文面に、目的外利用を行わない旨を記述していること。
目的外利用を行わないための措置を講じる旨を記述していること。 - b.について記述していること
- 個人情報保護方針の文面に、「個人情報保護に関する法令、国が定める指針その他の規範を遵守する」主旨の記述があること。
- c.について記述していること
- 安全管理措置を講じることを宣言する項である。安全管理措置の面で、個人情報の漏えい,滅失又はき損を防止し是正を行う旨を記述し
ていること。
※この項に、目的外利用を含めて「防止及び是正」する旨を記述している場合は不適合である。なぜなら、目的外利用はしてはならないこと
であり、安全管理措置における是正と同列に論じることはできないからである。 - d.について記述していること
- 個人情報保護方針の文面に、苦情や相談に対して対応する旨を記述していること。
- e.について記述していること
- 個人情報保護方針の文面に、個人情報保護マネジメントシステムを継続的に見直し改善する旨を記述していること。
- f.について記述していること
- 個人情報保護方針の文面に代表者の氏名を表示していること。
- 制定日を表示していること
- 個人情報保護方針の文面に制定日、改訂日を表示していること。
- その他
- 公表している個人情報保護方針に関する問い合わせ先を明示していること。
※個人情報の取扱い一般に関する問合せ先と兼ねても良い。
【注意点とサンプル】
- »個人情報保護の理念
- 「事業内容」と「何のために個人情報保護活動を行うか」を記述する必要があります。
事業内容を記述しなければ不適合になります。株式会社△△(以下、当社という。)は、◇◇業を営むうえで取扱う個人情報は厳正に管理すべき本人の大切な財産であることを認識し、個人情報保護方針を定めるとともに、これを実行し、かつ、維持します。などにすると良いでしょう。
- »事業の内容及び規模を考慮した
- 「事業の内容及び規模を考慮した」とは、自社が取扱う個人情報の「種類や量を考慮した」と解釈しても良いと思います。
Pマーク審査では「事業の内容及び規模を考慮した」ことについての記述が無いなどで不適合になるケースが多くありますので、次のように記述すると良いでしょう。当社は、当社の事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供を行うため、個人情報の管理責任者を置くとともに、日本工業規格JIS Q 15001:2006「個人情報保護マネジメントシステム」に準拠した個人情報の取扱いを行います。 - »目的外利用を行わないこと及びそのための措置を講じることを
- JIS要求事項には「特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下,”目的外利用“という。)を行わないこと及びそのための措置を講じることを含む。」とありますので、このことについても記述しなければなりません。
この時、目的外利用を行わないことと、そのための措置を講じることを記述する必要がありますので、次のように記述すると良いでしょう。当社は、特定された個人情報の利用目的の達成に必要な範囲を超えた取扱いを行なわず、そのための適切な措置を講じます。次は、不適合の例です。
当社は、特定された個人情報の利用目的の達成に必要な範囲を超えた取扱いを行なわいための適切な措置を講じます。どこが不適合か?「目的外利用を行わないこと」が記述されていません。
- »個人情報保護マネジメントシステムの継続的改善に関する
- 「当社は、個人情報保護マネジメントシステムの継続的改善に関する」とJIS規格通りの記述をしていないと不適合になるケースがありますので注意が必要です。
- »代表者の氏名
- 表見(ひょうけん)代表取締役の氏名を記述すると不適合になりますので注意が必要です。
- »制定日、改訂日
- 個人情報保護方針の制定日を記述する、また、改訂したことがあるならその日付も記述しなければなりません。
- »個人情報保護方針に関する問い合わせ先
- 「個人情報保護方針に関する問い合わせ先」を記述しなければなりません。
個人情報保護方針の全文サンプルは、次の通りです。
個人情報保護方針
社名(以下、当社という。)は、<業務内容>を営むうえで取扱う個人情報は厳正に管理すべき本人の大切な財産であることを認識し、個人情報保護方針を定めるとともに、これを実行し、かつ、維持します。
- 当社は、当社の事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供を行うため、個人情報の管理責任者を置くとともに、日本工業規格JIS Q 15001:2006「個人情報保護マネジメントシステム」に準拠した個人情報の取扱いを行います。
- 当社は、特定された個人情報の利用目的の達成に必要な範囲を超えた取扱いを行なわず、そのための適切な措置を講じます。
- 当社は、必要かつ適切なセキュリティ対策を講じることにより、当社の取扱う個人情報の漏えい、滅失又はき損の防止及び是正に努めます。
- 当社は、個人情報の取扱いに関して、本人からのお問い合わせ、相談、苦情、開示、訂正等のご請求につきまして誠実かつ迅速に対応いたします。また、当社の個人情報保護マネジメントシステムに関してのお問い合わせに迅速に対応いたします。
- 当社は、個人情報の取扱いに関する法令、国が定める指針、その他の規範を遵守します。
- 当社は、当社の個人情報保護に関する規程や行動規範を定め、個人情報の保護に取り組みます。その取り組みが確実に実施できているか定期的に確認・監査・見直しを行うことにより、継続的に改善いたします。
制定年月日
代表取締役
代表取締役
個人情報に関するお問合せ・苦情・相談の窓口
個人情報保護管理者:
TEL FAX
個人情報保護管理者:
TEL FAX