 |
||||||||||||||
|
||||||||||||||
| 前のページ 1 2 3 | ||||||||||||||
|
||||||||||||||
| 社内ガイドライン作成におけるポイント | ||||||||||||||
|
それでは社内の個人情報保護ガイドラインを作成する際の文書構成のポイントについて解説していこう。ポイントは表2の通りだ。
表2:社内ガイドライン作成のポイント それではそれぞれのポイントの注意点について解説する。 |
||||||||||||||
| 分別の第1ステップのA〜Dごとにガイドラインを用意する | ||||||||||||||
|
分別した個人情報ごとの対策に関係する業務は異なるため、それらを分けたガイドラインを作成すべきである。中には共通事項もあるだろうが、それぞれのガイドラインの読者は、業務ごとに異なることから、共通事項を重複してすべて記載する方が利用しやすいガイドラインになる。 |
||||||||||||||
| 第2ステップでの分別を意識して対策を示す | ||||||||||||||
|
どの種類の個人情報に、どの対策をするのかを具体的に示すのがよい。個人情報保護法対応のアプローチから対策を決めた企業では、この部分が抽象的になりやすい。なぜなら法律の一般的な解説書では、この部分が抽象的になっている場合が多いからだ。 しかし自社の取り扱う個人情報に限定した場合、現場にわかりやすいようにそれぞれの項目を具体的に示すことができるだろう。また法律上の「個人情報」「個人データ」「保有個人データ」の3つに対する遵守事項を、ガイドラインの中でどのように規定するのかを示しておくのがよい。 ハンドブックでは、それら3つを区別しながら遵守事項を適宜選択するのは煩雑になることから、すべてを最も厳しい「保有個人データ」として扱うように求めているが、そこまでしなくてもよいだろう。 |
||||||||||||||
| 個人情報のライフサイクルにそって注意事項を示す | ||||||||||||||
|
経済産業省のガイドラインでも示唆しているように、個人情報のライフサイクルの視点で対策を時系列に順序だてて整理するということである。ハンドブックでは、以下の項目を具体的に示している。
表3:個人情報のライフサイクルの例 |
||||||||||||||
| 個人情報保護法が求める「本人の関与」の対応手順を示す | ||||||||||||||
|
法律条文の通りに、表4にあげた事項について現場での対応手順を示す必要がある。開示、訂正、削除、消去といった一見普通の用語について、法律で定義されている用語として解釈しなければならないことを社内の担当者に周知する必要がある。
表4:「本人の関与」の対応手順 例えば、個人データを消すことについて、法律上は要求の理由によって「削除」と「消去」の表現が異なる。登録されている内容が正しくないという理由だと「訂正等」の中で「削除」といい、利用目的に違反した、あるいは不正取得であるなどで利用停止させたいという理由だと「利用停止等」の中で「消去」というように用語を区別している。 |
||||||||||||||
| 例外処理手順を示す | ||||||||||||||
|
法律が定めていることではないが、社内における例外措置の手続きについて示す必要がある。 例外措置の手続きを定めておかないと、例外が発生した際に現場で自己裁量してしまいかねない。かといって本当に例外を認めずに、ルールにあわなければビジネスを止めてしまえというのも現実的ではない。 例外措置の手続きを明確に定めた上で、どのような例外が発生しているのかを管理することが重要なのである。 例外を許容するということは管理を弱体化させてしまうように思うかもしれないが、実は例外を管理していない組織においては想定外の事故が発生した際に、再発防止策を立案できなくなる。例外を想定して管理を徹底する方が、例外を認めないよりもよいと考える。 |
||||||||||||||
| 次回は | ||||||||||||||
|
今回は業務委託の際の注意点と、社内ガイドライン作成の際の注意点について紹介した。次回は先ほど述べた個人情報のライフサイクルの各段階における具体的な対策内容について解説していく。 |
||||||||||||||
|
前のページ 1 2 3 |
||||||||||||||
|
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
-
人気記事ランキング
-
-
連載
