|
実施(及び運用)するために、
全社的な 規程 だけではなく、
具体的に行動ができるように、部署や業務毎に手順・マニュアルの整備や、
トレーサビリティを保つためのエビデンスの確保が必要になるかと思います。
また、JIS Q 15001
の 4.2〜4.5 項の部分は、全体的に「原則」と
「例外」の組み合わせになってます。
例外事項 をひとつにまとめると以下のようになるかと思います。
- 受託物件(預託を受ける)場合
- 目的外利用をする場合
- 第三者への提供する場合
- 法令などによる場合
- 生命及び財産を脅かす恐れがある(と判断される)場合
- 機微情報(センシティブ)を取り扱う場合
- 情報主体(本人)の利益を侵害しない(と判断される)場合
ただし、委託物件
の場合はちょっと他と異なるかと思います。
これら以外にも、自社の都合により、
があるかと思いますが、
説明できる根拠を示し、
情報主体(本人)への“事前同意”が必要になるかと思います。
運用面では、原則をスタンダードとし、
例外事項を安易に適用しないような措置(リスク管理として)が必要になるでしょう。
つまり、自社で“既知”のことは、手順などをマニュアル化し、
オーソライズを受け、それと併せて権限の移譲を行う措置が必要でしょう。
“未知”のことは、スタッフが勝手に判断せず、
然るべき手順を踏んで、組織的に承認するということになるでしょうか。
業務内容によっては、
ISO 9001 や 14001 にあるような「訓練」が必要になるでしょうし、
部署毎の規程や細則を設けてもいいかと思います。
社内では、個人情報は概ね以下のようなフローを辿ると思います。
- 収集(取得) → 保管・利用 → 委託/返却/提供
- 情報主体(本人)からの要求 → 開示・訂正・削除
この時も「利用目的」を継承し、ルール作成や技術的な方法を用いて、
目的外利用 をしない 仕組みを作る必要があります。
そのためには、個人情報を取り扱う業務フローのすべてにおいて
利用目的を継承する仕組み も必要になります。
まず、収集時には、収集毎に利用目的などの同意を求める内容を定め、
情報主体(本人)から 同意を得る手順が必要になります。
また、要求を受けるための問い合わせや苦情窓口の設置が必要になります。
連絡先は実名でも既存の部署名でなくても構いませんが、
“たらい回しにされない”ことが重要になるかと思います。
利用については、「利用目的」に沿って行い、
「目的外利用」をする場合には、
情報主体(本人)の同意を得てから行うようにする必要があります。
保管にあたっては、担当以外の者が容易にアクセスできないような
安全管理 の措置が必要になりますし、
委託や預託を行う場合には、
委託先管理をきちんと行う手順が必要になります。
情報主体(本人)からの要求(開示・訂正・削除・拒否など)に対して、
具体的な手順が必要になります。
収集や目的外利用などの同意を求める際に、
以下の事項についても伝える必要があるかもしれません。
- 本人確認の仕組み
- “合理的な期間”の設定(目安の提示)
- 正確性を保つための仕組み
情報主体(本人)からの要求を受けた際、訂正などにより情報が変更したり、
削除・拒否によって、情報を消す場合、
“速やかに”対応するための手順が必要になります。
併せて、何時間後/何日後など「速やかに」を具体化することも必要です。
コンプライアンス・プログラム(CP) には、
これのような手順やマニュアルまで含んでます。
これらは「規程管理規程」という名称のような、
規程などの文書を管理する規程に従い、
改訂などで古いバージョンと混ざらないように、
日付や作成者など“一意性”を管理する必要があるでしょう。
|