内部規程の対象は？

内部規程は個人情報保護マネジメントシステムを構成するための内部規程の作成・維持に関する要求事項です。そして、内部規程の定期的な見直しの手順を確立することも要求しています。
重要なポイントとして、従業員がその手順に規定された業務に直面した際に、「何をしなければならないか？」を理解し実行できるようにする必要があります。また、ここでの管理項目の他にも個人情報保護のために必要と思われる項目があれば、内部規程として制定すべきでしょう。
3.3.5　内部規程では以下のような内容を対象としています。
a) 個人情報の特定
b) 法令，国が定める指針その他の規範
c) 個人情報に関するリスクの認識，分析及び対策の手順
d) 資源、役割、権限及び責任
e) 緊急事態への準備及び対応
f) 個人情報の取得，利用及び提供
g) 個人情報の適正管理
h) 本人からの開示等の求めへの対応
i) 教育
j) 個人情報保護マネジメントシステム文書の管理
k) 苦情及び相談への対応
l) 点検
m) 是正処置及び予防処置
n) 代表者による見直し
o) 違反に関する罰則

※ o) 違反については対応する要求事項はなく、就業規則で規定すればよいとなっています。

作成時の注意

大切なのは形式的な規定を作成するのではなく、具体的に「何をしなければならないのか？」「何をしてはいけないのか？」を理解・実行できる規定を作成することです。
そのためには規定の他に、「細則」「マニュアル」「チェックリスト」などを整備することが必要となります。また、それらは使いやすい形式や文書構成で作成するのが望ましいでしょう。

制定時の注意

内部規程は経営責任などが明確になるので、取締役会の決議などの一定の手順を経て定める必要があると規定されています。単なる社内の主管部門の承認手続きではなく、会社として最も公式で厳格な承認プロセスを経て制定する必要があります。

個人情報保護マネジメントシステム要求事項（JIS Q 15001）より一部引用