JIS Q 15001:1999 の「4.2 個人情報保護方針」では、 ４項目についての記述が求められていますが、 プライバシーマーク取得事業者であっても JIS Q 15001 の項目をほとんどそのままコピペしている事業者もまだまだ多い状況です。 プライバシーマーク の審査において、 全社的な 「個人情報保護(基本)方針」については、 まだまだ大目に見ている感じのようですが、 消費者の意見や、個人情報保護保護法など、世の中の動向を見て、 今後審査レベルを上げていくようになっていくような 方向性 であると思います。

　言うまでもないかもしれませんが、そもそも「個人情報保護方針」とは、 JIS Q 15001:1999 の 4.2 項にある要求事項を知っているという前提で、

• 収集、利用、提供に関して“事業の内容及び規模を考慮した”とは何か？
• 社に(特に)関係のある法令とはどのようなものか？
• 具体的にどのような安全管理措置をしているのか？
• 継続的改善とは具体的に何をするのか？

　あと、個人によって捉え方が違う語句として、 「適切に」、「厳格に」、「正当な理由」、「合理的に」、 などなどいろいろあるかもしれません。 たぶん「適切に」というのは「社内規程に従って」ということでしょうけども、 読む側の立場で考えると、 「具体的にどんな感じで？」ということが知りたいのではないかと思います。
※何か参考になるガイドやガイドラインがあればいいのですが．．．

　いろいろな事業を行っている場合にはなかなか具体的に書けないかもしれませんが、 プライバシーマーク制度 では、 少なくとも 年１回以上の 教育、監査、 代表者の見直しが求められています。 安全管理 に関しては、 (公開しているのであれば)セキュリティポリシーを参照させてもいいかもしれません。

　個人的に、JIS Q 15001:1999「4.2 個人情報保護方針」は、 「4.3.3 内部規程」のサマリー版(公開版)としての位置としてもあるでしょうし、 コンプライアンス・プログラム(CP) の“基本設計書” としての役割もあるかもしれません。 こういう感じで 基本設計 が見えると、審査もしやすい(審査の基点になる)と思います。 たぶん CP を構築する過程 で、自社の CP の“特徴(コンセプト・基本設計・ポイント)” が何かを理解しているかと思います。 CP は具体的な手順やマニュアルまで必要ですので、 “基本設計書”なしで作った CP は実行性が乏しいような気もします。

　また、“基本設計書”は、 内部的には、見直しや 継続的改善 のためのツールとしても使えるかと思います。 つまり、基本設計さえしっかりしていれば、 状況の変化に照らし合わせて、CP を改訂しやすくなるのではないかと思います。 これらの 基本設計書 をベースに、方針やポリシーとして、 端的に読みやすく書けばいいような気がします。 社内規程は公開しないと思うので(基本規程 ぐらいは公開してもいいかもしれませんが)、 読み手にとっての“目安”がわかるように、 方針やポリシーとは別に、何か公開できるサマリーがあったほうがいいかもしれません。
※それが俗に言う「プライバシーステートメント(○○での個人情報の取り扱いについて)」かもしれませんが．．．

　プライバシーマーク の審査をしてた頃、 現地調査の場面でよく耳にしたこととして、

社の事業が多岐に渡っており、なかなか個人情報保護方針を具体的に書けない

　最後に、“一般の人が入手可能な措置”とありますので、 事業者のウェブページの掲載が必要でしょう。 掲載するだけではなく、“容易に参照できる”ように、 トップページから簡単に辿れる 仕組みも必要になるかと思います。 リンクの張り方としては、もしかしたら場合によっては、

• トップページ → オンラインプライバシーポリシー → 個人情報保護基本方針

　個人情報保護方針は代表者の承認(定めること)が必要ですので、 少なくとも 基本方針 だけは、 代表者の署名や作成・改訂日付などを、 社内の“規程管理規程”や“文書管理規程”に従って、明記しておいた方がいいでしょう。 また、

• コンプライアンス・プログラムの継続的改善に関すること