適用法規制一覧とPMS組織状況管理表ですが、なにを記入したらよいかわかりません。
適用法規制一覧とPMS組織状況管理表ですが、なにを記入したらよいかわかりません。
弊社、印刷関連会社で、主に年賀状印刷や名刺印刷、ホームページ作成などを行っています。
従業員も5人ほどの企業です。 これらの文書は必要なのでしょうか。
「法規制一覧」および「PMS組織状況管理表」は、JIS Q 15001:2023の「4.1 組織及びその状況の理解」に関連する様式となります。
4.1 組織及びその状況の理解
- a) 法令,国が定める指針その他の規範
組織は,外部及び内部の課題の決定に当たり,個人情報の取扱いに関する法令,国が定める指針その他の規範を特定し, 参照可能とし, それらの手順を確立し,かつ,維持しなければならない。
組織は,法令等を特定,及び参照可能とするための手順についての文書化した情報を利用可能な状態にしなければならない。※「JIS Q 15001:2023」より
1.「適用法規制一覧」について
組織は、個人情報の取扱いに関連する法令、国が定める指針その他の規範に基づいて、個人情報を取り扱っていることを前提としてるため、4.1で規定する「外部の課題」の一つとして把握するよう要求されています。
JIS Q 15001:2023では、「法令,国が定める指針その他の規範」に関して、「7.5.1.1 内部規程」および「7.5.1.2 この規格が要求する記録」にて、それらを特定・参照するための規定化、および記録として維持するよう求められており、「適用法規制一覧」は、これに関連する様式となっています。
7.5.1.1 内部規程
組織は,次の事項を含む内部規程を文書化し,かつ,維持しなければならない。
- a) 法令,国が定める指針その他の規範の特定,参照及び維持に関する規定
7.5.1.2 この規格が要求する記録
組織は,個人情報保護マネジメントシステム及びこの規格の要求事項への適合を実証するために必要な記録として,次の事項を含む記録を作成し,かつ,維持しなければならない。
- a) 法令,国が定める指針その他の規範の特定に関する記録
※「JIS Q 15001:2023」より
例えば、法律が改正されれば(外部の課題が変われば)、それに伴って適用範囲の変更やリスクの変化により規定なども変更する必要があるかもしれません。
そのために、常に最新版が分かるように、関連する適用法規制を洗い出し、管理しておく必要があります。
業種や業態などによって異なりますが、以下のようなものが主要な文書になるかと思います。
- JIS Q 15001
プライバシーマークの基準規格となります。
- 個人情報の保護に関する法律
言わずと知れた個人情報保護法ですね。
- 条例
都道府県ごとに条例がありますので、組織の属する地域の都道府県条例をお調べください。
- 個人情報保護に関連する法律のガイドライン
保護法を補足するような内容が記載されており、通則編と外国にある第三者への提供編、第三者提供時の確認・記録義務編、仮名加工情報・匿名加工情報編などがあります。該当するガイドラインが必要となります。
- 行政手続きにおける特定の個人を識別するための番号の利用等に関する法律
これは、マイナンバーに関連した法律です。
- 特定個人情報の適正な取り扱いに関するガイドライン(事業者編)
これは、特定個人情報(マイナンバー)を取り扱う際のガイドラインになります。
様式(記入例)も合わせてご参考ください。
様式(記入例)にある他の法規制は、組織で規定を作る際などに参考や参照するなど、利用するものがあれば記載し、最新版として管理することをお勧めします。
また以下のサイトでも関連法規制を紹介していますので、ご参考ください。
2.「PMS組織状況管理表」について
文書化は、JIS Q 15001:2023で要求はされておらず、プライバシーマークの審査基準にも特に記載はありません。
ただ、4.1では、外部および内部の課題を決め、それを考慮した適用範囲(4.3 個人情報保護マネジメントシステムの適用範囲の決定)やリスクを決定(6.2.1 一般)するとされているため、審査上で質問された際に口頭でも良いので、回答する必要があります。
JIS Q 15001:2023の「4.1 組織及びその状況の理解」では、a項の「法令,国が定める指針その他の規範」が要求されていますが、これ以外にも「外部及び内部の課題」があれば決定することが求められています。
「PMS組織状況管理表」は、組織の目的に関連し、かつ個人情報の保護及び取り扱いにおいて影響を与える、外部及び内部の課題を洗い出して特定するための様式となります。
外部の状況としては、法規制や業界、セキュリティ技術、取引先からの要請などが挙げられるでしょうし、内部状況としては、組織変更や人材の入退などがあるかと思います。
また、コロナウイルスのようなことが起これば、外部及び内部の状況に影響があり、それに伴い、適用範囲も在宅を含めたネットワーク環境やそれらのリスクへの対応と繋がることになるでしょう。
なお、サンプル様式の「PMS組織状況管理表」で取り上げている記載項目は、必ずしも全てが必要という訳ではありません。
組織が必要と判断した項目に変更されても結構です。
ちなみに、「PMS組織状況管理表」の項目は、「ISO/IEC専門業務用指針」の「附属書SL Appendix 2 – MSS作成者への手引」に記載された例(以下参照)を参考にしております。
外部の課題
- – 国際、国内、地域又は地方を問わず、文化、社会、環境、政治、法律、規制、財務、技術、経済、自然及び競争の要因。
内部の課題
- – 組織のアイデンティティ(ビジョン、使命、価値観、文化を含む)、統治、構造、方針、資源、実現能力、人員、財務。
※「附属書SL Appendix 2 – MSS作成者への手引」より
ISO/IEC専門業務用指針とは、組織が複数のマネジメントシステムを導入することを考慮して開発された指針で、ISOのマネジメントシステム規格(9001、14001、27001など)がこれに基づいて構成されています。
プライバシーマークの基準規格となるJIS Q 15001は、ISO規格ではありませんが、0.3項にて「ISO/IEC専門業務用指針の附属書SL を採用した他のマネジメントシステム規格との近接性を保っている。」となっています。
0.3 他のマネジメントシステム規格との近接性
この規格は, ISO/IEC専門業務用指針第1部統合版ISO補足指針の附属書SL (マネジメントシステム規格のための調和させる方法)に規定する上位構造, 共通の細分箇条題名,共通テキスト並びに共通の用語及び中核となる定義を参考にしており,附属書SLを採用した他のマネジメントシステム規格との近接性を保っている。
附属書SLに規定されたこの共通の取組は, 二つ以上のマネジメントシステムを運用する組織にとって有用となる。
※「JIS Q 15001:2023」より
他にも、「附属書SL Appendix 2 – MSS作成者への手引」では、「6.1 リスク及び機会への取組み」にて、「JIS Q 31000,リスクマネジメント - 指針」も参考にし得るとなっているため、「ISO 31000(リスクマネジメント)」にある外部及び内部の課題の項目を、組織の外部及び内部の課題を決定する際の参考とすることができます。
以上、ご参考ください。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
