Pマークの「外部コミュニケーション」とは誰を指しますか?どのような設定は必須ですか?
PMSマニュアル、7.4コミュニケーションの中の(2)外部コミュニケーションについて。
外部とはどういう人のことを指すものでしょうか。
外部コミュニケーションは必ず入れなければいけないものでしょうか。
このことについて分からず、プライバシーマークの審査機関へ問い合わせたところ、「附属書Aと関連してくるので、それによります。」という回答をいただきました。
恥ずかしながら附属書Aとは何かもよく分かっていません。
取得支援パッケージの中には入っておりませんでしたので、新たに作る必要があるのでしょうか?
マニュアル内の「外部コミュニケーション」の捉え方、および「附属書A」との関係について詳しく解説いたします。
結論から申し上げますと、「外部コミュニケーション」とは主に「苦情・相談への対応」や「緊急時の連絡」を指し、これらはPマーク維持のために必ず規定に含める必要があります。
ご質問に関する「附属書A」についても、新たに資料を作成する必要はありませんのでご安心ください。
1. 「附属書A」とは何か?(新たに作る必要はありません)
ライバシーマークの審査基準である規格「JIS Q 15001:2023」の要求事項(規定)は、「本文」と「附属書A」に分かれています。
- 本文:
マネジメントシステム全体(PDCAの回し方など)のルール - 附属書A:
具体的な個人情報の取り扱いルール(取得、利用、提供、安全管理など)
提供している「取得支援パッケージ」の規程類は、この「附属書A」の要求事項をすべて網羅して作成されています。規程を運用することが、そのまま「附属書A」に対応することになります。
2. 外部コミュニケーションとして定義すべき範囲
「外部」とは顧客、行政、委託先などを指します。以下の項目は外部との重要なコミュニケーションであり、審査でも必ずチェックされます。以下はPマークの根幹であるため、「外部コミュニケーション」として規定を省くことはできません。
- 苦情・相談対応:
外部からの問い合わせに適切に応じる窓口の設置。 - 緊急事態:
情報漏えい等の事故発生時における、本人や行政(個人情報保護委員会等)への速やかな報告。 - 開示等の請求:
本人から「データを見せてほしい」と言われた際のやり取り。
上記の「苦情・相談対応」は、審査機関が指摘した「附属書A(A.26 苦情の処理)」とはまさにこの点です。
なお、JIS Q 15001:2023の「7.4 コミュニケーション」に関する要求事項は、形式上は、ISO/IEC専門業務用指針第1部統合版ISO補足指針の附属書SLの「7.4 コミュニケーション」をほぼ踏襲しており、内外関係者とのコミュニケーションについて組織で決定した事項を規定することになっています。
これを踏まえ、サンプル文書では、例えば個人情報も関わるプロジェクトも想定しているため「プロジェクト会議」も外部コミュニケーションとして掲載していますが、貴社の実態に合わせて削除しても審査上の問題はありません。
3. 満足度を高める運用のコツ
審査では、単に「窓口がある」ことだけでなく、「緊急事態(漏えい等)が起きた際に、誰がどこ(警察、個人情報保護委員会、本人)へ連絡するか」というフローも重視されます。
「7.4 コミュニケーション」の項目には、最低限「苦情・相談の受付」と、緊急時の「関係各所への報告」の2点について、連絡ルートと担当者を決めておくのが最もシンプルかつ効果的な審査対策となります。
これにより、審査員が気にする「附属書Aとの関連」を明確に示すことができ、かつ「事故が起きた際に迷わない」実効性のあるPMSとなります。
