ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

「PMS外部文書管理台帳」の①承認、②保管(原本)、③配布先に関して。

プライバシーマーク サンプル文書集
2024/06/04

PMS外部文書管理台帳につきまして、下記のご回答を拝見しました。

プライバシーマークサンプル文書集の外部文書のサンプルに記載してある資料のうち取得に必須な物を教えてください。

台帳には、①承認、②保管(原本)、③配布先とあるのですが、ここでいう「①承認」とはどのような意味になりますでしょうか。

記入例には「JISQ15001」の承認者が「個人情報保護管理者」とありましたので、外部文書として保管することを認める、という意味でしょうか。

例えば「不正アクセス行為の禁止等に関する法律」について、特に会社で保管している訳ではなく必要な都度ネット等で確認だけなのですが、台帳に記載は必要でしょうか。

もし必要な場合は「②保管(原本)」「③配布先」にどのようなことを記載すればよろしいでしょうか。

まず、外部文書とは「業務遂行に必要な外部資料及び外部規格等」と定義しております。

どれが外部文書となり管理すべきかは、業務を把握している者しか判断できないと思います。
よって、「①承認」では、外部文書として管理することを承認する者を設け、台帳に登録することとしています。

次に、ネットなどにより入手するような場合でも、「適切な版」の使用が必要となるため、台帳などにより管理が必要となります。
「②保管(原本)」に関しては、「適切な版」が常にネット上から入手できるのであれば、URLなどを記載しても良いかと思います。

「③配布先」に関しては、利用者や利用条件など、実働にあった記載をすれば良いかと思います。
なお、外部文書などには顧客などから受領した機密文書(社外秘)も含まれますので、「②保管(原本)」「③配布先」を確実に管理する必要があります。

例えば、「②保管(原本)」= 業務部施錠付きラック、「③配布先」= 業務部※※業務担当者(山田、佐藤、鈴木)といったような記載なども考えられます。

ちなみに、似たような様式として「適用法規制一覧」というものもございます。
法規制に関しては、JIS規格「4.1 組織及びその状況の理解」のa項にて、以下のように規定されています。

※JIS Q 15001:2023 4.1 組織及びその状況の理解

a) 法令,国が定める指針その他の規範

組織は,外部及び内部の課題の決定に当たり,個人情報の取扱いに関する法令,国が定める指針その他の規範(以下,“法令等”という。)を特定し,参照可能とし,それらの手順を確立し,かつ,維持しなければならない。
組織は,法令等を特定,及び参照可能とするための手順についての文書化した情報を利用可能な状態にしなければならない。

こちらに関しては、以下のサポートブログをご参考ください。

「適用法規制一覧」は、外部文書に登録した法律関連の文書と同じ内容で良いのではないか。 || ISM Web store サポートブログ
https://www.ismwebstore.com/support/archives/3170