「適用法規制一覧」は、外部文書に登録した法律関連の文書と同じ内容で良いのではないか。
現在、「適用法規制一覧」の作成を進めていますが、外部文書に登録した法律関連の文書と同じ内容で良いのではないかと考えております。
適用法規制一覧にだけ特別追加した方が良い物などあれば教えてください。
「適用法規制一覧」の作成にあたり、外部文書管理との関係性について回答申し上げます。
結論から申し上げますと、「法令の特定」と「文書の管理」という2つの要求事項が満たされていれば、台帳を一つにまとめる、あるいは内容を重複させることは問題ありません。
1. 規格上の役割の違い
最新のJIS Q 15001:2023に基づくと、それぞれの目的は以下の通りです。
- 適用法規制一覧(法令の特定):
自社が守るべき「ルール」を明確にするためのもの。最新の法令や指針を把握し、参照できる状態にすることが目的です。 - 外部文書管理台帳(文書の管理):
外部から入手した文書を、誤って古い版を使わないように「管理」するためのもの。法令だけでなく、契約書やマニュアル等も含みます。
2. 「適用法規制一覧」に含めるべき項目の例
一般的な法律以外に、以下の項目が漏れていないかご確認ください。
- 地方自治体の条例:
事業所所在地の「個人情報保護条例」や「迷惑防止条例」など。 - 業界ガイドライン:
所属する業界団体が策定している情報セキュリティや個人情報保護に関する指針。 - 審査機関の指針:
JIPDEC等が発行するガイドラインやQ&A。 - ISMS等の他規格:
ISMS(ISO 27001)なども併用されている場合、その規格要求事項も「規範」に含まれます。
3. 運用のヒント
管理を簡略化するため、以下の運用を検討されるのも一案です。
- 台帳の統一:
「外部文書管理台帳」の中に「法令区分」という列を設け、一元管理する方法です。法規制以外の外部文書(取引先との秘密保持契約書、ソフトウェアの仕様書など)が少ない場合は、この方法が効率的な場合もあります。 - 契約書の除外:
取引先との「秘密保持契約書」などは、法令ではなく「外部文書」としてのみ管理する。
大切なのは形式ではなく、「改正があった際に正しくリストが更新され、周知される仕組み」があることです。
審査においては、「最新の法令を確認する手順があるか」「改正時に台帳が更新されているか」が厳しくチェックされます。台帳の形式よりも、「常に最新版を参照できる状態にあること」を優先して運用ルールを構築してください。
