JIS Q 15001 の項番3.3.2 “法令,国が定める指針その他の規範”について説明します。
審査に合格するための対応は簡単ですが、今回はベストプラクティスも含めた話となります。
審査に合格するための対応
「関連法令一覧表」のような帳票を作成します。これを審査直前に最新の状態にアップデートすれば問題ありません。それから(個人的には形骸化を促進する要求だと感じていますが)、個人情報保護管理の承認をおこなうことも忘れないでください。下記のような法令が特定されていれば問題ないでしょう。
審査機関、事業者の業種によって要求するものが異なります。また本表を作成した時点以降のアップデートには対応していないのでご注意ください。中には、なぜこの法令を特定する必要があるのか、疑問を感じるものも多くありますが、とにかく一覧表に載せることが重要です。審査では内容の把握を求めることはありません。
ベストプラクティス
国や関連する機関の動向をキャッチしながら、法令やガイドラインの制改訂の状況を時宜を逸せず把握する必要があります。当社では、専門家や関係者との交流を通じて最新動向のキャッチ、法令・ガイドラインの正確な分析結果の共有をおこなっています。
本コラム執筆時点(2015年10月)で多くの事業者が関心を持たれているのは、マイナンバー対応でしょう。当社の顧問先の一部で対応した内容をご紹介します。
2013年5月、いわゆる番号法が制定されました。この段階では顧問先への影響をはかりかねていたのですが、専門家および関係者とのやり取りの中で、企業に与える影響が無視できないことが分かりました。
2013年11月、当社は顧問先の一つである企業の法務部門と連携し、番号法についての分析を開始しました。その際には、取得する際の手続きの整備、情報システムの整備が必要であることを確認し、しばらく動向を見守ることとしました。
2014年12月、特定個人情報保護委員会から事業者向けガイドラインが公表されました。ここから本格的な動きをスタートさせます。ガイドラインを法務部門と読み合わせた後に、関係部署へ落とし込むためのサマリーを作成し、説明会を開催しました。
2015年4月、各社の対応を横目に見ながら、マイナンバー対応のためのWBSを策定しました。また、関係部署(人事部門、経理部門、情報システム部門、情報セキュリティ部門)のキーマンから構成されるタスクフォースを立ち上げました。
2015年7月以降、ITベンダー、BPOベンダーから情報収集をおこない、マイナンバー対応のための情報システムやオペレーションの具体化を進めました。マネジメントレビュー(代表者による見直し)において、マイナンバー対応に関する重要事項は経営陣と共有していたため、予算取り等の支障は特に発生しませんでした。
“法令,国が定める指針その他の規範”への対応は、アリバイ対応のみであれば簡単なのですが、実効性を持つ形で対応するのが最も難しい要求事項です。特に重要な法令については、下記のステップで進める検討する必要があります。
・情報の収集、自社影響の分析
・タスクの洗い出し
・関係者との共有、経営層へのエスカレーション(マネジメントレビュー等の活用)
・予算、リソースの確保
・オペレーションの策定、規定、手順書の見直し
・教育や監査への落とし込み
マイナンバーを例に説明しましたが、その他にも重要トピックがあります。
・個人情報保護法改正、JIS改正
・行動ターゲティング、スマホアプリとプライバシーの問題
・クラウドの活用とセキュリティ
セキュリティ部門、事務局部門の最も重要なミッションは法令対応だと考え、ノウハウ獲得のために適切なリソースを確保することが重要となります。