ホーム >
富士通ジャーナル >
経営お役立ち情報 >
個人情報の重要性 >
第6回コンプライアンス・プログラム

第6回コンプライアンス・プログラム

プライバシーマークを取得する際にはJISに基づいて審査されます。「JIS Q 15001」の要求に基づいた「コンプライアンス・プログラム(CP)」を作成し、取り組むことが出発点です。プログラムを実践できるようになってからプライバシーマークの取得に進みます。

JIS Q 15001って何？

「JIS Q 15001」は「個人情報保護に関するコンプライアンス・プログラムの要求事項」の表題で、「個人情報の全部若しくは一部を電子計算機などの自動処理システムによって処理している，又は自動処理システムによる処理を行うことを目的として書面などによって処理している，あらゆる種類，規模の事業者に適用。」するものです。1999年3月20日に制定したので「JIS Q 15001:1999」が規格番号です。

コンプライアンス・プログラムって何？

「コンプライアンス」というように、全社的な法令「遵守」のニュアンスが強くなります。
CPは、「JIS Q 15001」の前身である「通称個人情報保護ガイドライン」から使われている言葉で、JISの定義にもあるように、「マネジメントシステム」と言い換えても構わない内容です。
事業者が、自ら保有する個人情報を保護するための指針、組織、計画、実施、監査及び見直しを含むマネジメントシステム。
方針、規程、細則・手順書、マニュアルなどに置き換えることができます。これらの規程類だけでなく、教育・監査の実施や計画書、報告書など、「JIS Q 15001」に書かれているものすべてを含みます。就業規則などの既存の規程類や、安全管理などの関連規程類、実施方法によっては経営会議の議事録や日報まで含んできます。
「JIS Q 15001」の「4.2 個人情報保護方針」では、4項目についての要求が記述されています。
a) 事業の内容及び規模を考慮した適切な個人情報の収集、利用及び提供に関すること。
b) 個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏洩などの予防並びに是正に関すること。
c) 個人情報に関する法令及びその他の規範を遵守すること。
d) コンプライアンス・プログラムの継続的改善に関すること。

この4項目は、CPの「基本」として位置づけることができます。CPを構築する過程で、自社のCPの「目的」「特徴(コンセプト・ポイント)」が何かをしっかり理解している必要があります。CPは具体的な手順やマニュアルまで必要とします。4項目を意識しないで形だけで作ったCPは実行するときにてこずることでしょう。
しっかり理解して作っていれば、たとえ状況の変化があっても、CPを改訂しやすいはずです。誰でもが理解できる（間違って理解しない）ように、端的に読みやすく書きましょう。

CP構築のアプローチ

CPを構築する際には、次のフェーズで取り組むとよいでしょう。
Phase1 : スタート体制を整備（トップの理解と計画・組織づくり）
Phase2 : プライバシーマーク制度の理解
Phase3 : 社内状況の把握（個人情報として扱うものの一覧表を作る。既存の業務フローを個人情報が流れるプロセスの観点で整理するなど。）
Phase4 : CP基本設計（必要工数や人数などを見積もり、「個人情報保護方針」原案を作成するなど。）
Phase5 : CP構築（「JIS Q 15001」の25個の要求事項をすべて満たす。要求事項「解説」を参考にする。実践しながら、不具合点を見つけ出し、修正していくのがよい。）
Phase6 : CPのシェイプアップ（教育、自己評価、アンケートなどを通じて不具合を手直しする。）
Phase7 : プライバシーマーク申請
フェーズ2から6を繰り返すのが基本です。
最初は雛型を使っても、あるいは外部業者やコンサルに依頼してオーダーメイドしたものでも構いません。しかし、まず、自社の身の丈に合ったものに補正しましょう。自分のサイズに合わない靴は、大きくても小さくても歩きにくく、素早く行動できません。とにかく現場が動きやすく、実践できるようにしましょう。格好をつけすぎると息切れしやすく形骸化します。できそうもないことをCPに書くのは、形骸化する近道です。

【資料】
財団法人日本規格協会規格検索結果一覧－JIS Q 15001
http://www.webstore.jsa.or.jp/webstore/JIS/FlowControl.jsp
財団法人日本情報処理開発協会プライバシーマーク事務局－JIS Q 15001
http://privacymark.jp/ref/jisq15001.pdf

中小企業診断士阿部将美
［2004年掲載］