2005/5 作成 個人情報保護に関する コンプライアンス・プログラム要求事項の要約 (JIS Q 15001:1999年版) 4.コンプライアンス・プログラム要求事項(CP) 4.1 一般要求事項 事業者は、CPを策定し、実施し、維持し、改善する(PDCAサイクルの確実な運用)こと。 4.2 個人情報保護方針 代表者は以下の事項を含めた個人情報保護方針を定め、文書化し、社内に周知し、実行すること。また、一般の人に開示すること。 ①事業の内容及び規模にふさわしい適切な個人情報の収集、利用及び提供に関すること。 ②個人情報への不正アクセス、紛失、破壊、改ざん及び漏洩等の予防及び是正に関すること。 ③個人情報に関する法規制の遵守 ④CPの継続的改善の宣言 4.3 計画 4.3.1 個人情報の特定 個人情報を特定するための手順を確立すること。それらに関するリスクを分析し認識すること。 4.3.2 法令及びその他の規範 個人情報に関する法規制の特定と参照の手順を確立すること。 4.3.3 内部規定 個人情報を保護するための権限及び責任、収集・利用・管理、開示・訂正及び削除、教育、監査、違反時罰則等の内部規定を策定 すること。 4.3.4 計画書 内部規定を遵守するために必要な教育及び監査等の計画を立案し、文書化すること。 4.4 実施及び運用 4.4.1 体制及び責任 ①責任及び権限を定め、文書化し、社内に周知すること。 ②代表者は必要な資源を用意すること。 ③CPの実施及び運用に関する管理責任者を任命すること。 4.4.2 個人情報の収集に関する措置 ①【収集の原則】 個人情報の収集は、収集目的を明確に定め、その達成に必要な限度で行うこと。 ②【収集方法の制限】 収集は、適法で公正な手段で行うこと。 ③【特定の機微な個人情報の収集の禁止】 以下に示す内容を含む個人情報の収集、利用又は提供は行わない。但し、情報主体 の同意、法令の規程及び私法上必要不可欠な場合は除く。 ・思想、信条及び宗教に関する情報 1/3 2005/5 作成 ・人種、民族、門地、本籍、身体・精神障害、犯罪暦、その他の社会的差別に関する情報 ・勤労者の団結権、団体交渉及びその他の団体行動の行為に関する事項 ・集団示威行為へ参加、請願権の行使、その他の政治的権利の行使に関する事項 ・保健医療及び性生活 ④【直接収集する場合の措置】 以下に示す事項を書面もしくはこれに代わる方法で通知し、情報主体の同意を得ること。 ・自社の個人情報の管理者の氏名もしくは職名、及び所属、連絡先 ・収集目的 ・提供が予想される場合、その目的、当該情報の受領者の組織の種類、属性及び個人情報の取扱いに関する契約の有無 ・預託が予想される場合、その旨 ・情報提供の任意性と当該情報を与えなかった場合に生じる結果 ・開示の権利、その結果での訂正又は削除要求の権利、並びにそれらの行使の具体的な方法 ⑤【間接収集する場合の措置】 間接的に収集する場合には、前項(任意性と提供しなかった場合の結果を除く)の事項を書面又は これに代わる方法で通知し、同意を得ること。ただし、以下に示すいずれかに該当する場合は不要。 ・個人情報の収集時に、あらかじめ自社への提供を予定している旨同意を得ている場合。 ・情報処理委託等のため預託される場合 ・情報主体の保護に値する利益が侵害されるおそれのない収集の場合 4.4.3 個人情報の利用及び提供に関する措置 ①【利用及び提供の原則】 利用及び提供は、情報主体が同意を与えた収集目的の範囲内で実施すること。ただし、以下に示すい ずれかに該当する場合には同意を必要としない。 ・法令の規程による場合 ・情報主体及び、又は公衆の生命、健康、財産などの重大な利益を保護するために必要な場合 ②【収集目的範囲外の利用及び提供の場合の措置】 同意を得た収集目的の範囲外で利用及び提供を行う場合は、少なくとも4.4. 2の⑤項(任意性と提供しなかった場合の結果を除く)の事項を書面又はこれに代わる方法で通知し、同意を得ること。 4.4.4 個人情報の適正管理義務 ①【個人情報の正確性の確保】 個人情報は、正確、かつ最新の状態で管理すること。 ②【個人情報の利用の安全性の確保】 リスクに対する合理的な安全対策を講じること。 ③【個人情報の委託処理に関する措置】 個人情報を預託する場合には、預託先の選定基準を明確に確立すること。また、契約に よって、秘密保持、再委託に関する事項、事故時の責任分担、契約満了時の個人情報の返却及び消去の内容を規定し、その保護 水準を担保すること。さらに、当該契約書等は、個人情報の保有期間にあたって保存すること。 4.4.5 個人情報に関する情報主体の権利 ①【個人情報に関する権利】 情報主体から開示を要求された場合は、合理的な期間内に応じること。開示の結果で、訂正又は削 除を要求された場合も合理的な期間で応じるとともに、その場合には、可能な範囲内で当該個人情報受領者にその旨の通知を行う こと。 ②【個人情報の利用又は提供の拒否権】 保有している個人情報について、情報主体から利用又は提供を拒まれた場合には応じる こと。 4.4.6 教育 事業者は役員及び従業員に対して、CPに適合することの重要性及び利点、それにおいての役割及び責任、CPに違反した際に予 想される結果を自覚させる教育の手順を確立し、実施すること。 4.4.7 苦情及び相談 2/3 2005/5 作成 情報主体からの苦情及び相談を受け付けて対応すること。 4.4.8 CP文書 CPの基本となる要素を、書面又はこれに代わる方法で記述すること。 4.4.9 文書管理 規格が要求するすべての文書を管理すること。 4.5 監査 ①CPの規格要求事項との適合性、及びその運用状況を定期的に監査すること。 ②監査責任者は、監査を指揮し、報告書を作成し、監査の結果を代表者に報告すること。 ③事業者は、監査報告書を管理し、保管すること。 4.6 事業者の代表者による見直し 事業者の代表者は、監査報告書及びその他の経営環境などから判断して、適切な個人情報の保護を維持するために、定期的にC Pを見直すこと。 3/3
© Copyright 2024 ExpyDoc