プライバシーマークとプライバシーポリシーとの関係とは
個人情報保護マネジメントシステム(PMS)の日本独自の規格であるPマーク(プライバシーマーク)を取得するためには、プライバシーポリシーを確立し、消費者に対して公表する必要があります。このプライバポリシーとは一体どのようなもので、どのように決定すれば良いのでしょうか?
今回は、Pマークとプライバシーポリシーについて解説していきたいと思います。
プライバシーポリシーとは
プライバシ-ポリシーとは、個人情報保護方針のことで、PMSの全体的な方針や組織の個人情報保護に対する考え方について取りまとめた文書のことです。プライバシーポリシーの策定と公表については、日本の個人情報保護法という法律で、個人情報を取り扱う可能性のある事業者に対して推奨していますが、義務とまではいきません。
一方でプライバシーマークを取得する企業においては、JIS Q 15001内…つまりPマークの要求事項内でプライバシーポリシーの策定と公表が組み込まれています。
事業者は、以下のような項目について考慮してプライバシーポリシーを決定する必要があるとされています。
- 事業の内容などを考慮した「個人情報」の適切な取得・利用・提供に関すること
- 「個人情報」の取り扱いに関する法令、国が定める指針そのほかの規範を遵守すること
- 「個人情報」の漏えいなどの防止および是正に関すること
- 苦情および相談への対応に関すること
- 個人情報保護マネジメントシステム(PMS)の継続的改善に関すること
- 代表者の氏名
プライバシーポリシーのPMS内での役割
プライバシーポリシーは、Pマークを取得する企業が構築する必要がある個人情報保護マネジメントシステム内で最も重要な役割を果たすものです。結論から言ってしまうと、プライバシーポリシーを実現にするためのものが個人情報保護マネジメントシステムということになります。
なぜなら、Pマーク規格のマネジメントシステムでは、個人情報保護目標というものを決定、事業者はその目標を達成するための計画を策定し、それを実行する必要が出てきます。この個人情報保護目標は個人情報保護方針であるプライバシーポリシーと整合性が取れている必要があるからです。
もう少しわかりやすく言うと、事業者はプライバシーポリシーという大目標を実現するために個人情報保護目標という小目標を定め、その小目標を達成するための計画を策定、実行する必要があります。この小目標はPマーク規格が最も重要視する概念であるマネジメントシステムのPDCAサイクルに密接な関係のあるものです。なぜなら、個人情報保護目標はPDCAサイクルのP(計画)の根幹をなす概念であり、このPを実行し、改善していくことが、Pマーク規格が求める要求事項の全てだからです。
プライバシーポリシーはどのように決定すれば良い?
プライバシーポリシーは、先程紹介したようなポイントを考慮して決定される必要がありますが、それ以外は事業者が自由に決定して良いものであります。――自由に決定して良いとはいっても、「適当にがんばります」といったフザけた理念であって良いというわけではありませんが、
- 組織が置かれている状況
- 組織が扱う個人情報
- 組織の内外の課題
- 組織がマネジメントシステムに対して意図する成果
- 国や自治体が定める条令や法律
- 組織の運営方針、会社の経営方針
このようなポイントを考慮して、個人情報を保護するために合理的な方針を決定して良いのです。
まとめ
今回は、プライバシーマークの規格の中でも最も重要な概念の一つであるプライバシーポリシーについて解説してきました。プライバシーポリシーはいわば「進むべき道を決断するための最後の砦」です。一番最初に決めるものでありながらも、「迷ったら、この方針に従う」という道標のようなものなので、慎重に決定するように心がけましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい