株式会社ハピネックス

東京都中央区日本橋小伝馬町16-5
新日本橋長岡ビル6階
TEL:03-5614-4311

JISQ15001:2006 規格要求事項解説

3.3 計画

3.3.5 内部規程

(解説)

ここは、わかりやすい要求事項です。「 a)~o)まである内容について文書化してください。」と言っているのです。
プライバシーマークの認証事業者は、これをすべて文書化しなければなりません。
では、何を文書化しなさいと言っているのでしょうか。

a)個人情報を特定するとは「どういう方法で特定するんですか? その手順を文書化してください。」ということですね。

b)は、「個人情報保護法を中心とする法律、条令、業界のガイドライン、こういったものをどうやって参照するんですか?、やり方を文書化してください。」と言っています。
3.3.2で「年に一回インターネットで調べます。」という事例を紹介しました。「調べます」は手順です。「年一回インターネットで調べる。」を文書化するということですね。

c)は、「リスク分析をどうやってやるんですか?」これを手順にしてまとめてください。

d)は、前項3.3.4で説明しましたね。その内容を文書化してください、ということです。

e)「事故が起こった場合にどう対応するんですか?」これを文書化してください。

f)「利用する前はどうするんですか? 第三者提供する場合はどうしたらいいんですか。」ということです。

g)は、個人情報の管理ですね。こういったものを文書化してください。

h)「本人から『情報開示してくれ』と言われたとき、どういう手順でやるんですか?」これを文書化してください。

更には「教育に関する規程」、「文書管理に関する規程」、「苦情及び相談に関する規程」、「点検、是正及び予防処置の規程」、「代表者による見直しの規程」、「内部規程の違反に関する罰則の規程」こういったものを全部「文書化してください」と言っています。ですから、文書化しないことには話しになりません。ただ、文書化を別冊にするのか、マニュアルの中に入れてしまうのか(別冊というのは、規程や手順書として分けるということです)多くは別冊ですが、きちんと文書化されていれば良いのです。


戻る(3.3.4)


次へ(3.3.6)

規格要求事項解説

ページのトップへ戻る