今月は、JISQ 15001:2017「内部規程(A.3.3.5)」についてご説明します。

 

プライバシーマーク取得事業者は、A.3.3.5に明記されているa)o)の事項を含む内部規程を
文書化し、かつ、維持しなければなりません。尚、内部規程を作成するに当たっては、
「リスクアセスメント及びリスク対策(A.3.3.3)」に基づき講じることとした対策をはじめ
とした、規格が定める事項を確実に実施する手順を文書化する必要があります。

 

それでは、なぜ内部規程を整備する必要があるのでしょうか。
この内部規程を整備する目的の1つは、付属書Bに明記されているように
「手順として確立したルールを文書化しておくことによって、担当者が変わっても個人情報
保護水準の継続性を保つ」ことにあります。
しかし、実際には、“形式上”内部規程を設定している、業務内容や進め方が変わったにも
関わらず、規程の修正を行っておらず、担当者引継ぎのタイミングに、「文書上のルールと
運用実態の整合性が取れていない」ことによって、混乱が生じる場合があります。

 

このような混乱が生じることの無いよう、更新審査においては、今までの審査よりも
“運用される”ルールとなっているかどうかが、近年審査の重要な観点となりました。このため、
担当者が文書化された手順に則って作業を行えるよう、必要に応じてマニュアル、細則やチェック
リストを作成するなど、過度に無理のない、具体的な内容であることが望ましいでしょう。

 

更新審査に向けて、また担当者の引継ぎまでを視野に、自社の運用実態に沿った内部規程を
整備することが出来ているかの見直しを行い、随時内部規程の整備を進めることが出来ると
良いでしょう。