第5章 運用の手順
規程類の整備が終わったら、いよいよ運用です。
でもその前に、やっておいたほうがいいことがいくつかあります。もちろん運用開始直後に整備しても特に問題はないのですが、スムーズに運用を開始するためには、事前の準備としてやっつけておいたほうがいいでしょう。
1 運用前に整備されているべきもの
運用は規程に基づき実施され、各種の様式類により運用証拠が蓄積されていきます。なので、これらの書類が整備されていなければ、運用そのものが開始できません。
この中で、個人情報保護方針や個人情報の取得・利用目的の公表文はホームページに掲載する必要があることから、場合によっては、ホームページのリニューアルが必要になることもありますので、気をつけて余裕をもって準備しましょう。
- 個人情報一覧表/個人情報取扱ワークフロー/リスク分析・対応表
- 個人情報にかかわる法令、指針等の一覧のプリントアウト
- 個人情報保護基本規程/個人情報保護管理規程/PMS組織図
- 個人情報保護方針/個人情報の取得・利用目的の公表文
※各部に配布します
※社内掲示・店頭配布・ホームページへの掲載
2 運用前に整備しておいたほうがいいもの
スムーズに運用を開始するために、必要な書類です。運用開始前に整備しておいたほうがいいでしょう。特に、個人情報取扱業務委託契約書は、相手があるものなので数週間程度の余裕を持って、契約を行ってほうがいいでしょう。
ところで、この個人情報取扱業務委託契約書ですが、混乱しがちなのは、全ての外注先と契約する必要はなく、個人情報の取り扱いを委託する外注先に必要な契約書だというところでしょう。
- 個人情報の委託についての安全対策状況調査書/個人情報取扱業務委託契約書/個人情報業務委託先一覧
- 情報機器管理一覧表/個人情報サーバアクセス権限者管理表/ネットワーク図
- 社屋配置図(平面図)
- ネームプレート・制服貸与一覧
3 運用開始時に必要なもの
運用開始時には、代表者によりPMSのキックオフ宣言が行われ、その後、個人情報保護教育を実施、社員がPMSについて理解した上で守秘義務誓約書を締結し、取得同意書にサインしてもらう必要があります。
ところで、個人情報保護教育を実施した際には、かならず記名のアンケートやテストなどを実施することが必要ですので、気をつけてください。
- PMS文書配布管理票
- 個人情報保護教育計画書/内部監査計画書
- 社内教育用テキスト/テスト/個人情報保護教育実施記録・報告書
- 社員の人事管理等に伴う個人情報の取得等同意書(既採用者用)
- 個人情報保護に関する守秘義務誓約書
4 運用中に必要なもの
運用中に必要なものは、いわゆる実施記録と呼ばれるもので、運用に伴って蓄積されるべき書類です。これらの書類が蓄積されていないと、運用の点検や内部監査のときに「不適合」と判断され、改善が必要になります。また、Pマークの申請の時に、十分な運用実績がないと判断され審査が長期化する可能性があります。
- 個人情報特定管理票
※個人情報の受け入れ伝票として位置づけられます。 - 鍵管理表/戸締まりチェック表/施設開閉記録(個人情報処理のための特別室、倉庫等)/入室記録(個人情報処理のための特別室、倉庫等)
- 来館者名簿
- 個人情報データの入出庫記録簿(各部キャビネット用)/
- 個人情報バックアップ履歴(各部キャビネット用)
- winny/shareチェック表
- ID/PW更新確認書
- モバイルパソコン持出許可証
- ID/PW発行依頼書/サーバ・ネットワーク利用停止/制限報告書
※発生時に必要。該当事案が発生していなければ不要。 - 個人情報取扱管理者・システム管理者選任届
※発生時に必要。該当事案が発生していなければ不要。 - センシティブ情報の取得等申請書/センシティブ情報の取得等同意書
※発生時に必要。該当事案が発生していなければ不要。 - 人事関係書類
・採用に伴う個人情報の取得等同意書 - 権利保護関係
※発生時に必要。該当事案が発生していなければ不要。
・個人情報開示等請求/回答書
・本人同意取得伺書
・利用・提供目的変更申請書/個人情報の利用目的変更同意書
・個人情報の第三者提供の承認願い/個人情報の第三者提供同意書
・個人情報の本人へのアクセス許可申請書/個人情報の本人へのアクセス同意書
さらに運用期間中、一定のタイミングで、各部において運用の点検を実施する必要があります。
- PMS点検票