代表的な文書には「個人情報保護方針」、「基本規定」、「管理規定」があります

個人情報保護マネジメントシステム文書は、「個人情報保護方針」、「基本規定」、「各管理規定」、「各管理手順(細則、マニュアル、手順書など)」、「様式」、「記録」で構成されています。

作成する際のポイントとしては、端に形式的な「規定」ではなく、従業者がその手順に規定された業務を行う際に、「何をして、何をしてはいけないのか?」を容易に理解し実行できるものでなければなりません。

JISQ15001の規格要求事項では、文書の形式や書式、文書体系などは、細かく要求していません。従って、事業者が利用しやすいような形で実現することが必要となります。

個人情報保護方針
事業者の代表者が個人情報保護に関する取り組みを内外に表明する重要な文書です。JISQ15001の規格要求事項では、以下の内容が必須となっています。

  1. 事業内容と規模を考慮した適切な個人情報の取得、利用及び提供に関する内容
  2. 法令及び国が定めるし親疎他の規範を遵守すること
  3. 個人情報の漏洩、滅失又は棄損の防止及び是正処置に関する内容
  4. マネジメントシステムを継続的に改善するという内容
  5. 代表者の氏名
  6. 制定年月日及び最終改訂年月日
  7. 問い合わせ先

個人情報保護基本規定
上記の保護方針に基づき自社の個人情報の保護に関する管理項目及びマネジメントシステムの概要を規定した文書のことです。規格要求事項では「基本規定」の作成を要求していません。

そのため、従業者がするべきこと、してはいけないことを箇条書きのように列挙すすることも可能です。しかし、唐突に「~をすること」「~はしてはならない」と細かい規定をしてもわかりにくいので、まず各管理項目について「なぜやらなければならないのか」という事業者の考え方を「基本規定」に記述し、それに伴い各官吏規定を引用するような手段が有効でしょう。

個人情報保護管理規定
基本規定に定められた管理項目を、実際の業務に適用するために必要となる手順を規定した文書のことです。ここでいう管理規定とは、JISQ15001の規格要求事項である「内部規定」を指しており、その詳細の手順を定めています。

従って、特に管理規定の内容は、あいまいな表現ではなく、部門や担当者、情報の名前などの「具体的な対象」や「具体的な手順」を記載して、従業者が正しく理解して実行できるものでなくてはなりません。