Pマーク書類作成で一番大変なこと:法令編+α


こんにちは!!!
いつもご愛読いただきましてありがとうございます。
ISO総合研究所コンサルタントの村上と申します。

本日私、村上が担当させて頂きますテーマは、
「Pマーク書類作成で一番大変なこと:法令編+α」です!

Pマークを取得するにあたって、作成しなければならない記録は主に、

①個人情報を特定した台帳の記録
②法令、国が定める指針その他の規範をまとめた記録
③台帳の情報や法令を基に実施するリスク対策の記録
④委託している企業を評価した記録
⑤個人情報について従業者に教育した記録
⑥自社のPMSに不適合はないか、運用において問題がないかを監査した記録
⑦代表者が全運用状況の報告を受け、確認した後出した指示の記録

の7つです。
本日はこの7つの中の
②法令、国が定める指針その他の規範をまとめた記録 について話していきます!

そもそも、Pマークを運用するための文書(ルール)を作成する際には、
「個人情報保護マネジメントシステム実施のためのガイドライン」に書かれている
要求事項を満たしているものを作成しなければなりません。

そして、「個人情報保護マネジメントシステム実施のためのガイドライン」には作成しなければならない記録についての要求事項も記載されています。
これから、
②法令、国が定める指針その他の規範をまとめた記録 を作成するにあたって、
「個人情報保護マネジメントシステム実施のためのガイドライン」が要求していることに沿って説明していきます。

「個人情報保護マネジメントシステム実施のためのガイドライン」ではまず、

『事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し参照できる手順を確立し、かつ、維持しなければならない。』
とされています。

これは、事業者が個人情報の取扱いに関する法令や、国が定めている指針や、ガイドラインや顧客要求等のその他の規範を特定し、特定したものを更新、管理しなければならない事と表しています。

ガイドラインでは、個人情報の取扱いに関する個々の法令等への違反について規定しているわけではありませんが、もし、過失によりそれら法令等に違反した事業者は、必要な法令等が特定されていなかった、あるいは特定していても適切に管理されていなかったという事になり、この要求事項に反して不適合という事になります。

つまり、法令等を特定していなければ、要求事項を満たすことが出来ず、Pマークを取得できないという事になります。

また、Pマークを取得する際に必ず受けなければならないのが審査です。
審査には、文書審査と現地審査があります。
審査員に作成した文書や仕事場の監査を受け、合格してようやくPマークを取得できるのですが、
この審査の際に見られるポイントを、今からご紹介します。

まず、文書審査の際に見られるところが
「特定した法令等について管理者の承認を得る手順を定めているか」
「特定した法令等を更新する手順が定められているか」
「特定した法令等を参照する方法を定めているか」 の3つになります。

また、現地審査の際に見られるポイントは
「特定された法令等が明確になっている事が確認できる記録があるか」
「特定した法令等について管理者の承認を確認できる記録があるか」
「参照すべき法令等を特定した記録の更新履歴があるか」
「社内での参照方法があるか」 の4つです。

また、どんな企業でも特定する必要がある法令等には、

①「個人情報の保護に関する法律」
②「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
③「雇用管理分野における個人情報保護に関するガイドライン」
④「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項」
⑤「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」
⑥「特定個人情報の適正な取り扱いに関する法律」
の6つがあります。

この中で、②と③は一元化され、

「個人情報の保護に関する法律についてのガイドライン(通則編)」
「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」
「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」
の3つに変更されています。

しかし、実際に一から書類を揃えるのはとても大変です。
まず何から始めたらよいのか、どんな法令を特定すればよいのか、
分からないことだらけだと思います。

実際、審査の際に法令等の特定漏れの指摘が上がることも多いです。

まずは、一度自社の事業内容を見直し、事業に応じ、必要な法令をピックアップしていきましょう。
つまり、自社の業務に関連のある範囲で参照すべき法令等を特定するという事です。
例えば、保険事業をしていれば、「保険法」が当てはまりますし、印刷系の事業をしている、
かつJIS Q 15001に準じているのであれば、「印刷産業のための個人情報保護の手引き」が必要になります。
これらの法令等を特定し、更新し、管理することによって、先に述べた要求事項を満たすことが出来ます。

このような作業が手間だ、面倒だと思われる方は、ぜひ弊社のサービスをご利用ください!
貴社のお手間となる作業を弊社のコンサルタントが代わりに行います!
ご不明点等ございましたら、弊社:ISO総合研究所までご連絡ください!
ご拝読くださりありがとうございました。


簡単・即時発行!見積書ダウンロード

メールアドレス