規格の3.4.3にある『適正管理』にのっとった規程です。
詳細は後ほど3.4.3のところで述べるとして、ここでは規程(ルール)作りについて説明します。
規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。
また、3.4.3には
3.4.3.1 正確性の確保
3.4.3.2 安全管理措置
3.4.3.3 従業者の監督
3.4.3.4 委託先の監督
このように規格項目が多岐にわたり、なお且つ、それぞれの項目にボリュームがあります。
これらの項目を一つにまとめることは至難の業になります。
また安全管理措置では、様々な安全管理措置が求められます。
要求されている安全管理措置を一つにまとめると、関係の無い部署にまで分厚い安全管理処置に関する規定が配布されてしまい、効果が発揮できませんので、ある程度分冊して作る必要性があります。
3.4.3では、個人情報を適正に管理を行う為のルールを決めます。
適正に管理を行うという行為には、個人情報の「正確性の確保」と「安全性を確保する」ルールが必要になります。
個人情報の正確性の確保を行う為には、・データ処理システムの運用、・データ更新手続き、・処理結果の確認等、実際に個人情報を取扱う担当者のミスを防止する為のルール作りになります。
安全性を確保する為には、合理的な安全対策に関してルールを決める必要があります。
具体的な安全対策の措置は、経済産業省の発行している「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」に法第20条関連として、記載されている措置、JIPDECが発行する「個人情報保護マネジメントプログラム実施のためのガイドライン」に記載されている措置を参考にして、自社にあった対策をルール化します。
少なくとも、入退室の管理、個人情報盗難防止処置、アクセス制限、不正ソフト対策、システムの監視、個人情報の保管・破棄・バックアップ等の個人情報の管理、委託先の選定基準・委託先との契約基準等の委託先の監督。
これらのルールが必要になります。
0 件のコメント:
コメントを投稿