匿名加工情報の取り扱い予定がない場合、関連する規程は制定しなくても大丈夫ですか?
匿名加工情報についてですが、弊社の方針としては実施する予定はありませんので、サンプル文書の「個人情報取扱及び保護規程」の2.9の緑波線の部分を記載しようと思っております。
その場合、以降の2.9.1適正な加工から2.9.5識別行為の禁止までの規程は制定しておく必要はあるのでしょうか?
結論から申し上げますと、「取り扱わない」という方針を明記している場合、その具体的な取扱手順(2.9.1〜2.9.5等)を規程として保持しておく必要はありません。
1. JIS Q 15001:2023 の要求事項
最新規格(A.28 匿名加工情報 / A.27 仮名加工情報)では、以下の2点が段階的に求められています。
- 方針の決定:
匿名加工情報(または仮名加工情報)を取り扱うか否かの方針を定めること。 - 手順の文書化:
取り扱う場合に限り、その具体的な取扱い手順を内部規程として文書化すること。
貴社のように「取り扱わない」という方針を定めたのであれば、2番目の「具体的な手順」を定めておく必要はなくなります。
2. サンプル文書の修正アドバイス
サンプル規程の「2.9」項目の修正は、以下のように進めていただくのが実務的です。
- 方針の記載(2.9):
サンプルの緑波線部分(「実施する予定はない」旨の記述)のみを残します。これで「方針を定めている」という規格要求を満たせます。 - 詳細規定の削除(2.9.1〜2.9.5):
具体的な運用ルールに関するこれらの条文は、削除して問題ありません。
3. 仮名加工情報に関する留意点
最新の2023年版で追加された「仮名加工情報」についても、匿名加工情報と同様の考え方となります。
「実施しない」という方針を1行明記しておけば、詳細な管理規程を設ける必要はありません。
実務上は、利用予定のないルールを規程に残しておくと、審査時に「ルールはあるが実態がない(形骸化)」と指摘されるリスクがあるため、方針以外は削除してスリム化することを推奨いたします。
