個人的な審査の経験を基に、 JIS Q 15001 に基づいた社内の個人情報保護のマネジメントシステム(CP)の構築 にあたってのアプローチの仕方について説明していきます。

Phase1: スタート体制の整備

Phase2: プライバシーマーク制度の理解

Phase3: 社内状況の把握

Phase4: CP 基本設計

Phase5: CP 構築

Phase6: CP のシェイプアップ

Phase7: プライバシーマーク申請

Phase1: スタート体制の整備

　それよりも、全体のデザインとして、どういう管理体制にしたいとか、 全社共通の手順にするのか、部署毎に独立して行うのか、 ある程度ラフでも構わないので、 この段階で“グランドデザイン” をある程度決めておいた方がいいでしょう。

　既に プライバシーマーク を取得した同業他社や、 これから取得をしようとしている同業他社などがあれば、 情報交換などをしてもいいでしょう。 外部コンサルタントを使う場合 でも、同業他社との情報交換と同様に位置付け、 CP 構築後は自社で運営し、監査することを念頭に置くことが必要です。 コンサルと言えど、委託 になると思います。 コンプライアンス・プログラム(CP) 確立のためには、人に任せきりではなく、目的を明確にし “導入計画”を自らきちんと立てることが必要かと思います。

Phase2: プライバシーマーク制度の理解

• プライバシーマーク制度 消費者向けパンフレット
• プライバシーマーク制度紹介プレゼン資料
• プライバシーマーク制度設置および運営要領
• JIS Q 15001:1999 「個人情報保護に関するコンプライアンス・プログラムの要求事項」

• プライバシーマークの付与を申請できる事業者
• プライバシーマークを付与する単位

Phase3: 社内状況の把握

1. 個人情報を扱う事業
2. 取り扱う個人情報の数(何人分)
3. 個人情報を扱う業務プロセス(業務フロー)
4. 直接収集／間接収集の比率(保有個人データの割合)
5. 委託先・提供先の数
6. 既に保有している個人情報の必要／不必要、 同意済／未同意の分類

7. 収集時に行うべき手順の有無と実状
8. 情報主体からの要求に対する措置の有無と実状
9. 社内の個人情報の保管・利用状況
10. 社内の セキュリティ状況
11. 情報システムや 入退管理 などに関する 規程類 の整備状況
12. 個人情報保護に関する リスクの把握と対処

• プライバシーマークセミナー資料[PDF: 880KB]

　この時点で、各部門毎や事業・サービス毎に、 “個人情報保護個別方針”をそれぞれ作らせてもいいかもしれません。 さらに個人情報を扱うそれぞれの業務について、

• 同意→収集→保管→利用→委託／提供／返却
• 情報主体からの要求→開示／訂正／削除／拒否

• 不足していると思われる JIS Q 15001 の要求事項の項目
• 個人情報の保管、利用などの集中／分散の管理状況
• JIS Q 15001 の原則に合わない事項(例外事項)
• 必要な セキュリティ対策

　また、同意が取れていない個人情報 がある(残っている)場合には、 プライバシーマークの審査に通らない場合があるので、 同意を取る手順を計画し、CP を構築しながら、 CP に即して実践していく必要があるかと思います。

Phase4: CP 基本設計

　最初に全社的な「個人情報保護基本方針」を作るのは難しいと思いますが、 ラフデザインとして「個人情報保護方針」原案を作成しておきましょう。 必要に応じて、部門毎や事業毎の「個人情報保護個別方針」を立ててもよいでしょう。

　この時点で、作業工程やスケジュールを固め、代表者の了承を得るとよいでしょう。

　理想と現実のギャップを埋める作業を以下の Step 5〜6 で行うことになります。 スケジュールを組む場合、CP 構築フェーズであっても、 「継続的改善」を意識し、 スパイラルアップ を 最低２、３回実践(練習)することを念頭に置いておきましょう。

　作業の進め方として、全体を一律に進めるのではなく、 一部の部署を 先発隊 として導入し、 ある程度実践ができてから全社的に反映させるなど、 CP 完成までの基本計画を立てましょう。

　また、取り組み段階から 社員情報 も JIS 準拠の枠組で行えば、 情報主体の立場を ロールプレイング できるので、 スタッフの意識高揚にも繋がって 教育的効果 も高いと思われます。 フィードバックを反映しつつ、事業の CP を作る上での参考になると思われます。

Phase5: CP 構築

• JIS Q 15001:1999 概説
• 個人情報に関するコンプライアンス・プログラムの作成指針
• プライバシーマークセミナー資料

　コンサルや CP の雛型を使用された場合、 そのままでは自社の状況に合ってない場合も多く、 実行可能な状態でないと思われます。 個人的な経験では、審査にならないケースが多かったので、 これらを利用された場合は、 自社の状況にフィットするように、特に念入りに“チェック”する必要があります。

　“チェック”といっても、CP をじっと眺めることではなく、 みんなで実践しながら、不具合点を見つけ出し、 修正していくスタイルがいいかと思います。 いわゆる“バグフィクス”になりますが、CP 自身だけでなく、 既存の 関連規程 などの修正もあるかと思います。 CP 構築時点の初期段階では、罰則規程と連動しない “ガイドライン”の形での実施でもいいかもしれません。

　教育、自己評価、アンケートなどのフィードバックを通じて 「Phase6:CP のシェイプアップ」 へつなげていきます。

Phase6: CP のシェイプアップ

　よって CP 作成後、試験運用を経て導入時監査を行い、不具合を明確にし、 バグフィックス 作業を行って行きます。 導入時監査にあたっては以下の資料を参考にするとよいでしょう。

• プライバシーマーク制度における監査ガイドライン

　個人情報保護方針 や同意を求める告知文など、 対外的に公開するものも見直しして、適宜修正しましょう。

Phase7: プライバシーマーク申請

• プライバシーマークの申請受付について
• プライバシーマークの付与を申請できる事業者

　確信できるまで、Phase3〜6 を繰り返した方がいいでしょう。 なお、プライバシーマークの審査では、コンサルや外部監査員など、 社外の人は同席できませんので、プライバシーマークを申請する場合には、 自立(自律) できるようになるまで繰り返す必要があるでしょう。