Pマーク取得で管理すべき必須の「外部文書」は何がありますか?主要な資料を教えてください。
PMSを取得予定です。外部文書のサンプルに記載してある資料のうち取得に必須な物を教えてください。
取得に必須でなければ保管(記載)せず進めたいと考えています。
PMS(個人情報保護マネジメントシステム)構築における外部文書の管理について回答申し上げます。
結論から申し上げますと、「規格の根拠となる法令・ガイドライン」は必須ですが、それ以外は貴社の事業実態に合わせて絞り込むことが可能です。
1. 【最優先】全組織で「管理必須」の外部文書
以下の文書は、Pマーク運用の基盤となるため、必ず台帳に記載し、最新版を確認できる状態にしてください。
- JIS Q 15001: PMSの根拠規格。
- 個人情報の保護に関する法律(改正法対応): 遵守すべき最上位の法律。
- 行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法): 全雇用主に関係。
- 個人情報の保護に関する法律についてのガイドライン(通則編): 実務判断の基準。
- 特定個人情報の適正な取扱いに関するガイドライン(事業者編): マイナンバー実務の指針。
2. 業務内容に応じて追加すべき文書の例
「必須でなければ記載しない」という方針のもと、以下のうち貴社に該当するものだけを選定してください。
- EC・Web運営: 不正アクセス禁止法、特定商取引法、特定電子メール法。
- クラウド利用: クラウドサービス利用のための情報セキュリティマネジメントガイドライン。
- 雇用管理: 雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項、労働安全衛生法。
- 特定の法律: 警備業法、労働者派遣法など、事業に直結する業法。
3. 効率的な運用のコツ
外部文書は必ずしも「紙」で保管する必要はありません。管理台帳に名称を記載し、官公庁のサイトなどで最新版をいつでも参照できるURLを控えておくことで、管理コストを最小限に抑えられます。
- 「リスト化」で対応する:
物理的に全ての冊子を揃える必要はありません。「外部文書管理台帳」に名称を記載し、**「いつでも最新版をWebで閲覧できる状態(ブックマーク等)」**にしておけば、管理上の要件は満たせます。 - ガイドラインの選定:
外国にある第三者への提供がない、あるいは匿名加工情報を扱わないのであれば、それらの専門的なガイドラインは台帳に記載しなくて構いません。
4. 審査でのポイント
審査員は「台帳に載っているか」だけでなく、「その法令の内容が、社内規程に正しく反映されているか」をチェックします。サンプル文書をベースにする際、不要な法令を削った後は、自社に関連する法令のポイント(例:保存期間、報告義務等)が規程と矛盾していないかを今一度ご確認ください。
どのような文書を外部文書として管理するかは、組織の業種や事情等により異なります。サンプル文書の記入例は、記入する際の例を示しているもので、全てを記載しているものではありませんので、ご了承ください。
これを踏まえ、サンプル文書集の記入例にあるもので、絶対に必要なものだけは以下のものになります。
- JIS Q 15001
- 個人情報保護法(個人情報の保護に関する法律)
- 行政手続における特定の個人を識別するための番号の利用等に関する法律
- 不正アクセス行為の禁止等に関する法律
- 秘密保持に関する契約書
- 個人情報の保護に関する法律についてのガイドライン(通則編)
- 特定個人情報の適正な取扱いに関するガイドライン(事業者編)
上記に追加し、以下の文書も必要かと思います。
- 地方公共団体の個人情報保護条例
- 雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項
記入例には記載されていませんが、以下のような法令等も、必要な場合もございます。
御社の業務の実態に合わせ、記載を追加されてください。
- 個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)
- 個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)
- 個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)
- 不正競争防止法
- 特定電子メールの送信の適正化等に関する法律
- 特定商取引に関する法律
- クラウドサービス利用のための情報セキュリティマネジメントガイドライン
- 中小企業のためのクラウドサービス安全利用の手引き
- 労働安全衛生法
- 労働安全衛生法に基づくストレスチェック制度実施マニュアル
- 警備業法
- 労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律
- 派遣元事業者が講ずべき措置に関する指針 など
