コンプライアンス・プログラム

　プライバシーマークの申請・取得にあたっては、「コンプライアンス・プログラムの策定」というのが必須事項になります。
　この「コンプライアンス・プログラム」というのは、文書の作成にとどまるものではなく、「企業が保有する個人情報を保護するための計画・実行・チェック・改善行動のマネジメントシステム」を構築することを要求するものです。
　従って、プライバシーマークの認定を取得する過程で、社内に「個人情報保護マネジメントシステム」が必然的に構築されることとなります。言い換えれば、プライバシーマークの認定を取得する過程を経ることで、自社内に個人情報保護の仕組みづくりがなされ、これが同時に社員一人ひとりの啓発・教育の機会となることになります。

コンプライアンス・プログラムの策定にあたって

　コンプライアンス・プログラムは、1989年に制定された初版の「個人情報保護ガイドライン」で使用されてきた用語で、日本語では「実践遵守計画」と訳されています。個人情報保護に関するコンプライアンス・プログラムには広狭の2つの意味があり、狭義には、運用ルール(規則など)が書かれたドキュメントそれ自体のことを意味し、広義には、個人情報保護を実践するためのPDCAサイクルによるマネジメントシステムを意味します。 　これから、特に断り書きをしない場合には、単に「コンプライアンス・プログラム」といった場合には広義のコンプライアンス・プログラムのことを言っていることとしたいと思いますが、このコンプライアンス・プログラムというのは、個人情報保護に関する実施体制、規程類、記録、実施状況などすべてを含むものであり、これに適合させることによって社内に「個人情報保護マネジメントシステム」が構築されることになります。 　

　コンプライアンス・プログラムは、プライバシーマーク認定取得のための要求事項であり、個人情報保護マネジメントシステムと位置づけられるものですが、その策定にあたっては、JIS Q 15001に定められていることを遵守する必要があります。

JIS Q15001の序文
　まず、JIS Q15001の「個人情報保護に関するコンプライアンス・プログラムの要求事項」の序文に次のような表現があります。

　ここで「体系的で全経営活動に統合されたマネジメントシステム」という内容は、次のような条件を備えたコンプライアンス・プログラムでなければならないということを意味しています。
a) 経営的に必要とする個人情報すべて（顧客情報、社員情報など）にわたって規定しているものであること。
b) この規格以外のマネジメント（ISO9000やISMSなど）とも整合性がとれているものであること。
c) 事業活動と一体不可分なルールとして運用している（運用できる）ルールであること。

また、次のような表現も前文に記載されています。

JIS Q15001の17要求事項
　JIS Q15001は、序文と4つの章（「適用範囲（1章）」、「引用規格（2章）」、「定義（3章）」、「コンプライアンス・プログラム要求事項（4章）」）から成っています。この中でも重要なのは、4章の「コンプライアンス・プログラム要求事項」であり、要求事項は以下の17項目にわたっています。

　　（1）一般要求事項
　　（2）個人情報保護方針
　　（3）個人情報の特定
　　（4）法令およびそのほかの規範
　　（5）内部規程
　　（6）計画書
　　（7）体制および責任
　　（8）個人情報の収集に関する措置
　　（9）個人情報の利用および提供に関する措置
　　（10）個人情報の適正管理義務
　　（11）個人情報に関する情報主体の権利
　　（12）教育
　　（13）苦情および相談
　　（14）コンプライアンス・プログラム文書
　　（15）文書管理
　　（16）監査
　　（17）事業者の代表者による見直し

コンプライアンス・プログラムの要求事項としてのデミングサイクル（PDCAサイクル）
　コンプライアンス・プログラムの要求事項は、品質管理でよく使われるデミングサイクル（問題解決や改善活動においてよく使われるQC手法の一つで、PDCAサイクルともいわれています。P−D−C−A、つまり計画（Plan）・実行（Do）・評価・検討（Check）・対策・見直し（Action）のサイクルを繰り返し、スパイラル状に継続的な改善を行っていく手法です）のPDCA（Plan、 Do、 Check、 Action）で構成されています。要求事項は、次のようにP、D、C、Aに対応します。

　　・Plan … 個人情報保護方針、計画
　　・Do … 実施および運用
　　・Check … 監査
　　・Action … 事業者の代表者による見直し

　（1）〜（6）がP：Plan（（1）及び（2）個人情報保護方針、（3）〜（6）が計画）、（7）〜（15）がD：Do（実施および運用）、（16）がC：Check（監査）、（17）がA：Action（事業者の代表者による見直し）にそれぞれ該当します。

JIS Q 15001の一般要求事項、個人情報保護方針、内部規程
(1)一般要求事項
　事業者は、コンプライアンス・プログラムを策定し、実行し、維持し、および改善しなければならないとされています。

(2)個人情報保護方針
　事業者の代表者は、以下の事項を含む個人情報保護方針を定めるとともに、これを実行し維持しなくてはならず、事業者の代表者は同時に、この方針を文書化し、役員および従業員に周知させるとともに、一般の人が入手可能な措置を講じなければならないものとされています。
　a) 事業内容および規模を考慮した適切な個人情報の収集、利用および提供に関すること。
　b) 個人情報への不正アクセス、個人情報の紛失、破壊、改ざんおよび漏洩などの予防ならびに
　　是正に関すること。
　c) 個人情報に関する法令およびそのほかの規範を遵守すること。
　d) コンプライアンス・プログラムの継続的改善に関すること。

(3)内部規程
　事業者は、個人情報を保護するための内部規程を策定し、維持しなければならず、内部規程は、次の事項を必須として含まなければならないとされています。そして、事業者は、事業内容に応じて、コンプライアンス・プログラムが確実に適用されるように内部規程を改定しなければなりません。
　a) 事業者の各部門および階層における個人情報を保護するための権限および責任の規定
　b) 個人情報の収集、利用、提供および管理の規定
　c) 情報主体からの個人情報に関する開示、訂正および削除の規定
　d) 個人情報保護に関する教育の規定
　e) 個人情報保護に関する監査の規定
　f) 内部規定の違反に関する罰則の規定

(4)計画書
　事業者は、内部規程を遵守するために必要な教育、監査などの計画を立案し、維持しなければならないとされています。

継続的水準の向上が重要

　ここで重要なのは、PDCAサイクルとして実際にコンプライアンス・プログラムを運用し、実績を積み、不具合は発見次第改善し、維持していくことです（Plan→Do→Check→Actionを繰り返し実践することにより、継続的な改善が推進されることになります）。そして、要求されている条件を満たしていることを前提として、目標を持って常に継続的にシステムの内容を改善していくことにより、個人情報保護マネジメントシステムはスパイラル状に次第にレベルアップしていくことが期待されています。
　こうした意味で、コンプライアンス・プログラムは、規程類などの文書を作成するだけでなく、ある意味では、実施面も含むマネジメントシステムとも言い換えることができます。そして、コンプライアンス・プログラムが成功するかどうかは、すべての階層および部門の参画、特に事業者の代表者がいかに関与するかにかかっています。

次回はコンプライアンス・プログラムの要求事項について、詳しく説明します。