「プライバシーマーク合格110番」はPマークの取得・更新、個人情報保護の支援。JISQ15001、PMS文書規程、リスク管理のノウハウ。

第127回 方針から、作り直しなのだ。

コラボレットは、2006年7月に、JIS Q15001:2006(2006年版JIS)の要求事項に基づいて、プライバシーマークの更新を申請しました。

9月に現地審査も終わり、指摘事項に対する報告も提出して、現在、審査結果を待っています。

5月20日に2006年版JISが制定されてから、わずか2カ月!
個人情報保護マネジメントシステムを改訂し、試行運用、監査を経て、なんとか申請書を提出しました。

こんなに短い期間で、キチンとした対応ができるのか?と思われる方もいらっしゃるかもしれません。でも、現地審査の際、審査員の方に
「レベルが高いですね。」
と嬉しい言葉をいただきました。

そこで、コラボレットが2006年版JISに移行する際に、
「ここは、解釈が難しいなぁ。」
「やっておいてよかった!」
「やっておけばよかった・・・」
など、気づいた点をご紹介したいと思います。

今回は、個人情報保護方針について。

個人情報保護方針と言えば、プライバシーマークを取得するとき、
真っ先に作成する「ピラミッドの頂点」にあたる文書です。

2006年版JISに対応するには、この個人情報保護方針から変更する必要があります。


■何が変わったのか?

「JIS Q15001が2006版に改正されました。
 個人情報保護方針は、どこを直しましたか?」

どうでしょう。
さっと答えられるでしょうか?

追加・変更する点が、5つあります。

(1)個人情報保護の理念の明確化
(2)目的外利用を行わないこと及びそのための措置
(3)国が定める指針の順守
(4)苦情及び相談への対応
(5)代表者の氏名

「はいはい、了解。」

・・・本当に、了解しました?
わざわざこう聞くのには、理由があります。

(1)~(5)の全てに対応したつもりなのに、実は、対応が不十分になりがちなものがあるのです。

それは・・・
(2)目的外利用を行わないこと及びそのための措置
です。


■あえて書こう

2006年版JISでは、次のように書かれています。

a)事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること(特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下、“目的外利用”という)を行わないこと及びそのための措置を講ずることを含む)。

あなたは、これに対応する個人情報保護方針の文章を、
どのように書きますか?

・当社は個人情報を取得する場合、その利用目的を明確にし、ご本人の同意を得た上で必要な個人情報を取得し、同意を得た利用目的の範囲内で利用させていただきます。

これでよいと思う方?
はい、残念ですが、指摘を受ける可能性があります。

これではダメだと思う方は?
はい、正解です。

では、何がダメか?

この文章は、JISの文章の前半、つまり「個人情報の適切な取得、利用、提供」についてしか述べていません。カッコ内の目的外利用に関する記述が抜けているのです。

カッコ内の文章について記述すると、例えば、こんな文章になります。

・当社は、特定した利用目的の範囲を超えた個人情報の取扱いを行わないために、必要な対策を講じ、確実に実施します。

前半に書かれている「適切な個人情報の取得、利用及び提供」は、後半のカッコ内の目的外利用に関する文章についても含む、と書かれていますから、あえて目的外利用について記述する必要はない、とも考えられます。

しかし、2006年版JISでは、カッコ内の文章が、わざわざ追加されました。

「適切な個人情報の取得、利用及び提供」に、
目的外利用を行わないことを含む
と説明したいだけなら、JISの解説に記述すればよいのです。
それを、あえて、JISの本文にカッコ書きで記述しています。

ですから、個人情報保護方針を作成する側も、カッコ内の目的外利用について、あえて記述するべきなんです。

「言わなくても、分かっているだろう。」

相手を良く知っていればいるほど、付き合いが長ければ長いほど、
いちいち言わなくても相手に伝わるだろう、と期待するものです。

個人情報保護方針の場合、
「わざわざ書かなくても、『適切な個人情報の取得、利用及び提供』に、目的外利用を行わないことを含んでいることは、審査員は分かっているだろう。」と、審査員に期待をすることになります。

でも、期待が裏切られたことって、今までにありませんでしたか?

こんなはずじゃなかったのに・・・。
分かってくれると思っていたのに・・・。

そんな思いを、プライバシーマークの現地審査ではしたくありませんね。

そのためには当たり前、分かっているだろう、と思うことでも、明確に記述することです。

■しっかり答えられるように

現地審査で、個人情報保護方針について質問されるのは社長です。

個人情報保護方針を、しっかり改訂しても、社長がその内容を分かっていなければ、現地審査で冷や汗をかくことになります。

最初の質問、
「JIS Q15001が2006版に改正されました。
 個人情報保護方針は、どこを直しましたか?」

現地審査で答えられるように、社長と一緒に練習してくださいね。
 
メールセミナー登録(購読無料)3分間でコツをつかむ!「2006年版JISで合格プライバシーマーク」

コンサルティングと自社での
現場の実践を通じて手に入れた
Pマーク取得の知恵と、
2006版JISの落とし穴を避ける、
ノウハウをご紹介します。

■2006年版JIS審査のトレンド
■審査員の解釈が異なる箇所
■重要な合格のツボ 他

※審査にすぐに役立つ情報を
 お送りします。ぜひ、ご登録を!
 →登録する
 →サンプルはこちらから
※いつでも解除できます。

現地審査のためのやっててよかった!「直前対策16ポイント」

JIPDECのガイドラインを
いくら読んでも分からない、
現地審査の成功をもたらす
秘訣があります。
→詳しくはこちら

無料レポート
クライアントの声
おすすめ商品
よくあるご質問
プライバシーマーク

株式会社コラボレットは、プライバシーマークを取得・更新し、お預かりした個人情報を適切に取り扱う努力を続けています。

個人情報保護士

このサイトは、個人情報保護士によって管理運営されております。証0151-0500-0067

当サイトでは、プライバシー保護のため日本ジオトラストのSSLサーバ証明書を使用しSSL暗号化を実現しています。

日本経済新聞社 NIKKEI NET 経営サポートBizPlus 連載120回以上!ぜひご覧ください。

特定商取引法

VISAカード MASTERカード NICOSカード
クレジットカード決済も可能です。


△ページのトップへ

サイトマップ

このホームページを友人・知人に紹介する。