個人情報の保護を維持するには、取り扱いルールとなる規定が必要です
個人情報保護マネジメントシステムを構成する「内部規定」の作成・維持に関する要求事項です。この規格で要求している対象は以下の通りですが、その他の管理項目についても事業者が必要と判断した場合は、内部規定として制定すべきです。
- 個人情報の特定
- 法令、国が定める指針その他の規範
- リスクなどの認識、分析及び対策
- 資源、役割、責任及び権限
- 緊急事態への準備
- 取得、利用及び提供に関する措置
- 適正管理
- 個人情報に関する本人の権利
- 教育
- 個人情報保護マネジメントシステム文書
- 苦情及び相談への対応
- 点検
- 是正処置及び予防処置
- 事業者の代表者による見直し
策定の際に重要なポイントは、従業者がその手順に規定された業務に直面した際に、具体的に「何をしなければならないのか?」「何をしてはいけないのか?」を理解し実行できることです。したがって、上位規定の配下に「細則」や「マニュアル」、「チェックリスト」などを整備する必要があります。
また、策定した内部規定は、個人情報保護マネジメントシステムを運用するうえで拠り所となるものですので、従業員が必要なときに容易に閲覧できるようにしておくことが必要です。