ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

PMSマニュアル、7.4コミュニケーションの中の(2)外部コミュニケーションについて

2020/11/24

PMSマニュアル、7.4コミュニケーションの中の(2)外部コミュニケーションについて。

外部とはどういう人のことを指すものでしょうか。

外部コミュニケーションは必ず入れなければいけないものでしょうか。

このことについて分からず、プライバシーマークの審査機関へ問い合わせたところ、「附属書Aと関連してくるので、それによります。」という回答をいただきました。

恥ずかしながら附属書Aとは何かもよく分かっていません。
取得支援パッケージの中には入っておりませんでしたので、新たに作る必要があるのでしょうか?

まず、附属書Aに関してですが、プライバシーマークの審査基準規格に「JIS Q 15001:2017」があり、これは本文と附属書A~Dから構成されており、このうち「本文」と「附属書A」が規定事項となっています。
以下に、JIS Q 15001 に関連するURLを掲載しておりますので、ご参考ください。

(参考)

JIS Q 15001:2017の「7.4 コミュニケーション」に関する要求事項は、形式上は、JIS Q 27001の「7.4 コミュニケーション」をほぼ踏襲しており、内外関係者とのコミュニケーションについて組織で決定した事項を規定することになっています。

ただ、JIS Q 15001:2017においては、本箇条は、旧規格(JIS Q 15001:2006)の「3.3.7 緊急事態への準備(新規格のA.3.3.7)」が対応することが附属書Dに示されています。

広い意味で解釈すると、他にも「3.2 個人情報保護方針(新規格のA.3.2)」や「A.3.4.2.4 本人から直接書面によって取得する場合の措置(新規格のA.3.4.2.5)」、「3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置(新規格のA.3.4.2.4)」、「3.4.4 個人情報に関する本人の権利(新規格のA.3.4.4)」、「3.6 苦情及び相談への対応(新規格のA.3.6)」も本人を含む外部とのコミュニケーションであり、その他の箇条も内部コミュニケーションということになりますが、JIS Q 15001:2017の場合、それぞれの箇条にてコミュニケーション方法を規定することになり、本箇条では、「A.3.3.7 緊急事態への準備(旧規格の3.3.7)」とそれ以外にとられるコミュニケーション方法を規定するのが妥当だと思われます。

当サンプル文書集では、例えば個人情報も関わるプロジェクトも想定しているため「プロジェクト会議」も外部コミュニケーションとして掲載しています。
特に無ければ、「外部コミュニケーションは必ず入れなければいけないもの」ではありません。

審査機関が仰っていたのは、『関連する「附属書A」の(A.3.3.7 緊急事態への準備)に対応した規定(ルール)があるかどうか』のことだと思います。

現在のプライバシーマーク審査では、「7.4 コミュニケーション」に関連する「A.3.3.7 緊急事態への準備」への対応が審査項目となっているため、最低限、その際の内外の対応(コミュニケーション)を規定することが求められているようです。

(参考)