ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

適用法規制一覧とPMS組織業況管理表ですが、なにを記入したらよいかわかりません。

07.07.2020

適用法規制一覧とPMS組織業況管理表ですが、なにを記入したらよいかわかりません。

弊社、印刷関連会社で、主に年賀状印刷や名刺印刷、ホームページ作成などを行っています。

従業員も5人ほどの企業です。 これらの文書は必要なのでしょうか。

「適用法規制一覧」について

「適用法規制一覧」は、JIS Q 15001の「4.1 組織及びその状況の理解」と「A.3.3.2 法令、国が定める指針その他の規範」に関連する様式となります。
よって、こちらの文書は必要となります。

組織は、個人情報の取扱いに関連する法令、国が定める指針その他の規範に基づいて、個人情報を取り扱っていることを前提としてるため、4.1で規定する「外部の課題」の一つとして把握するよう要求されています。

例えば、法律が改正されれば(外部の課題が変われば)、それに伴って適用範囲の変更(4.3)やリスクの変化(6.1.1)により規定なども変更する必要があるかもしれません。
そのために、常に最新版が分かるように、関連するもの適用法規制を洗い出し、管理しておく必要があります。

具体的には、様式(記入例)をご参考になった方が分かりやすいかと思います。

業種や業態などによって異なりますが、以下の主要な文書になるかと思います。

  • JISQ15001
    プライバシーマークの基準規格となります。
  • 個人情報の保護に関する法律
    言わずと知れた個人情報保護法ですね。
  • 条例
    都道府県ごとに条例がありますので、組織の属する地域の都道府県条例をお調べください。
  • 個人情報保護に関連する法律のガイドライン
    こちらは、保護法を補足するような内容記載されており、通則編と外国にある第三者への提供編、匿名加工情報編の3種類があります。3つのうち後半の2つは、業務で取り扱うことがない場合は必要ないかもしれません。
  • 行政手続きにおける特定の個人を識別するための番号の利用等に関する法律
    これは、マイナンバーに関連した法律です。
  • 特定個人情報の適正な取り扱いに関するガイドライン(事業者編)
    これは、特定個人情報を取り扱う場合に関連します。

他の記入例にある法規制は、組織で規定を作る際などに参考や参照するなど、利用するものがあれば記載し、最新版として管理しましょう。

以下のサイトでも関連法規制を紹介していますので、ご参考までに。

「PMS組織状況管理表」について

文書化は要求されておらず、プライバシーマークの審査基準でも特に記載はありません。

ただ、4.1では、外部および内部の課題を決め、それを考慮し適用範囲(4.3)やリスクを決定(6.1.1)するとされているため、審査上で質問された際に口頭でも回答する必要があります。

なお、サンプル様式で取り上げている記載項目は、必ずしも全てが必要という訳ではありません。

外部状況としては、先述の法規制や業界、セキュリティ技術、取引先からの要請などが挙げられるでしょうし、内部状況としては、組織変更や人材の入退などがあるでしょう。
また、今回のコロナウイルスのようなことが起これば、外部び内部の状況に影響があり、それにともない適用範囲も在宅を含めたネットワーク環境やそれらのリスクへの対応と繋がることになります。