個人情報保護について・・・

先日、ある商工会会員さんからの相談案件で「取引先からの個人情報保護体制に関する質問状の回答について」相談を受けました。
その企業さんでは、個人情報の取り扱いはほとんど行っておらず、保護体制も確立されていなかったのですが、委託元からの要求なので対応が必要になります。
そこで、一般的な企業でも最低限決めておいた方がいいことを列挙しておこうと思います。（私の個人的見解です。）

１．個人情報保護組織を明確にする。

個人情報保護管理者（ＣＰＯ）を決めてください。社長さんが兼任しても構いません。

２．個人情報保護方針を作って公開する。

必ず代表者名で作成し、公表します。
内容については、以下のような感じです。（正確にはＪＩＳＱ15001などを参照ください）

「当社は個人情報を大切に取り扱います」という宣言

「あらかじめ定めた利用目的以外の利用を行いませんし、目的外利用を行わないために努力します。」という決意

「法令や規範を守ります」という姿勢

「苦情や開示などの問い合わせには真摯に回答します」という心意気

「継続的に改善します」というマネジメントシステムの精神

３．社内の個人情報を洗い出して台帳にします。

項目は、取り扱う情報名、利用目的、主な項目、概数、取扱責任者、保管場所、保管期間、廃棄方法等です。

４．安全管理の内規を決めます。（経済産業省のガイドラインが参考になります）

個人情報を取り扱う業務がある場合、取得時、移送時、通信時、保管・バックアップ、廃棄時に分けて決まりを作ります。

個人情報を取り扱う業務が無くても、建物及び執務室の施錠管理（退勤時のチェックも含む）、システムの安全管理（ＩＤやパスワードの管理やウイルスチェックなど）などは必須です。

５．従業員から誓約書を取るか、契約書に個人情報保護の内容を入れます。

退職後も有効にするのがポイントです。

６．個人情報や機密情報の取り扱いについて教育を行います。

７．４．の規則がきちんと守られているかのチェック（内部監査）を行います。

 

このくらいで来てれば及第点だと思いますが、ここまでできていればプライバシーマークもすぐとれそうですね。