|
|
個人情報漏洩の対策を立て、トラブルを予防し発生時の影響を最小化するための全社的なコンプライアンスプログラムを策定し、実施し、維持し、継続的に改善する必要がある。 |
| 1.適用範囲 |
コンプライアンスプログラムを策定、実施、維持及び改善し、自己宣言及び審査に仕様できる。 |
| 2.引用規格 |
引用規格はない。 |
| 3.定義 |
個人情報、情報主体、事業者、管理者、受領者、監査責任者、情報主体の同意、コンプライアンス・プログラム(CP)、収集目的、利用、提供、預託の定義がある。 |
| 4.コンプライアンス・プログラム要求事項 |
| 4.1 一般要求事項 |
全体についてのコンプライアンスプログラム(CP)を策定、実施、維持及び改善しなければならない。 |
| 4.2 個人情報保護方針 |
個人情報保護方針を策定し、周知し、公開すること。 |
| 4.3 計画 |
|
4.3.1
個人情報の特定
|
保有する個人情報を特定し、リスクを認識すること。 |
| 4.3.2
法令及びその他の規範 |
法令等の参照手順を確立、維持すること。 |
| 4.3.3
内部規程 |
責任・権限、個人情報の管理、本人からの要望への対応、教育、監査、違反への罰則の内部規程を策定、維持すること。 |
| 4.3.4
計画書 |
内部規程の管理の計画を文書化し維持すること。 |
| 4.4 実施及び運用 |
|
| 4.4.1
体制及び責任 |
役割・責任・権限を周知すること。資源を用意すること。CP管理者を指名すること。 |
| 4.4.2
個人情報の収集に関する措置 |
|
| 4.4.2.1
収集の原則 |
収集目的を明確にすること。 |
| 4.4.2.2
収集方法の制限 |
収集は、適法かつ公正な手段であること。 |
| 4.4.2.3
特定の機微な個人情報の収 集の禁止 |
宗教、人種等の必要のない情報は収集しないこと。(本人の同意、法令等の例外あり) |
| 4.4.2.4
情報主体から直接収集する場合の措置 |
CP管理者、収集目的及び本人からの要望への対応を明示し本人の同意を得ること。個人情報の委託、提供を実施する場合も明示すること。 |
| 4.4.2.5
情報主体以外から間接的に収集する場合の措置 |
本人以外から個人情報を収集する場合も、本人の同意を得ること。 |
| 4.4.3
個人情報の利用及び提供に関する措置 |
|
| 4.4.3.1
収集の原則 |
特別の理由なく収集目的以外に個人情報を使用しないこと。 |
| 4.4.3.2
収集目的の範囲外の利用及び提供の場合の措置 |
収集目的以外で使用する場合、事前に本人の同意を得ること。 |
| 4.4.4
個人情報の適正管理業務 |
|
| 4.4.4.1
個人情報の正確性の確保 |
正確かつ最新の個人情報を管理すること。 |
| 4.4.4.2
個人情報の利用の安全性の確保 |
紛失、漏洩等のリスクに対して、安全対策をとること。 |
| 4.4.4.3
個人情報の委託処理に関する措置 |
委託する場合は、秘密保持・事故対応等を契約書等により管理すること。 |
| 4.4.5
個人情報に関する情報主体の権利 |
|
| 4.4.5.1
個人情報に関する権利 |
本人からの情報開示、訂正、削除の要望へ対応すること。 |
| 4.4.5.2
個人情報の利用又は提供の拒否権 |
本人からの情報利用等の拒否がある場合は、対応すること。 |
| 4.4.6
教育 |
CPの重要性、利点、役割・権限、違反した場合のリスクを教育する |
| 4.4.7
苦情及び相談 |
本人からの苦情及び相談に対応すること。 |
| 4.4.8
コンプライアンス・プログラム文書 |
書面等でCPを文書化すること。 |
| 4.4.9
文書管理 |
文書管理すること。
|
| 4.5 監査 |
内部監査を実施すること。 |
|
4.6 事業者の代表者による見直し
|
定期的にCPを見直しすること。
|
