3.3 計画

3.3.1 個人情報の特定
自社で使っている個人情報は、全て特定しなければならないとされています。
さらに、それらをそもそも特定するための手順が必要であるというのがここでの要求です。
特定とは、次のことで成立します。
・ 個人情報として識別するものの定義を決める
・ 個人情報を洗い出す担当者、部門などの単位を決める
・ 個人情報として洗い出された物が個人情報かどうかの最終承認を誰が行うのか決める
・ 洗い出された結果が常に正確な状態になるように更新など管理する

3.3.2 法令、国が定める指針その他の規範
個人情報保護に関連した法律には、個人情報保護法以外にもさまざまなものがあります。
そのため、関連する法律を確実に管理しなければなりません。
法律の管理対象には、法律以外に自治体などの条例や、所属している団体などから出されているガイドラインといったものも対象となります。
ちなみに、関連法令の中には、
・ 労働者派遣法
・ 労働安全衛生法
・ 本人確認法
などの、直接個人情報保護の法律でないものに、個人情報関連の条文が含まれているものが多くあります。

この、法令などについては、洗い出すことも、適宜更新することももちろん必要です。

3.3.3 リスクなどの認識、分析及び対策
リスクについては、情報セキュリティ上のリスクのみならず、目的外の利用を行わないようにということも定義されています。
そのために、この規格では個人情報がどのような流れで取り扱われているのかを洗い出したうえで、それぞれのシチュエーションごとにどのようなリスクがありうるのかを洗い出すことが求められています。
そのシチュエーションとは次のようなものです。
入手、取得
送付、移動
利用、加工
委託、提供
保管、廃棄
これらのシチュエーションにおいて、起こりうるリスクを特定しなければなりません。
たとえば、
入手、取得のときには、「同意なしの取得」
送付、移動のときには、「紛失」
などのリスクが想定できるでしょう。

また、リスクの内容は定期的に見直すことが求められるうえ、取り扱っている個人情報の内容が変わったら、見直しをしなければならないとされています。

3.3.4 資源、役割、責任及び権限
事業者の代表者は、個人情報保護マネジメントシステムに必要な資源配分を行わなければならない、必要な資源についての承認をしなければならないとされています。
さらに、必要な役割と責任権限は、代表者が任命したうえ、文書化して周知することが求められています。

その中で任命しなければならないものには、
・ 個人情報保護管理者(個人情報保護マネジメントシステムの管理責任者)
・ 内部監査責任者
といったものがあります。
ちなみに、上記二つの役割は同じ担当者ではならないこととなっており、事業者の代表者との兼任も認められていません。
そのため、Pマークの取得には最低3人必要であることが分かります。
それ以外にも、たとえば
・ 情報システム管理責任者
・ 各個人情報の取扱責任者
等といったものも、必要に応じて任命することが求められます。
特に個人情報保護管理者は、個人情報保護マネジメントシステムの運営をするのみならず、運用状況の報告をすることが求められています。
個人情報保護管理者は、社内からしか任命できません。

3.3.5 内部規程
次の項目については、具体的な手順の文書化が必要です。
・ 個人情報を特定する手順(3.3.1の内容)
・ 法令の特定手順(3.3.2の内容)
・ 個人情報に関するリスクの特定手順(3.3.3の内容)
・ 必要な役割、責任を任命する手順と、任命された結果(3.3.4の内容)
・ 緊急事態への対応手順(3.3.7の内容)
・ 個人情報の取得、利用及び提供に関する手順(3.4.2の内容)
・ 個人情報の適正管理に関する手順(3.4.3の内容)
・ 開示要求などに対応する手順(3.4.4の内容)
・ 教育に関する手順(3.4.5の内容)
・ 文書管理の手順(3.5の内容)
・ 苦情、相談の対応手順(3.6の内容)
・ 点検の手順(3.7の内容)
・ 是正処置、予防処置の手順(3.8の内容)
・ 代表者による見直しの手順(3.9の内容)
・ 規程の違反に対し、罰則を適用する手順(就業規則などの罰則規定でもよい)

つまり、基本的に要求されている事項については、全て手順の文書化が求められていると考えたほうがいいわけです。
そのために、どうしても個人情報保護マネジメントシステムの関連規定はボリュームが大きくなってしまう傾向にあります。
また、これらの文書は正式に社内承認を得ていなければなりません。

3.3.6 計画書
計画書は文書化することが求められています。
ちなみに、この規格では、
・ 内部監査計画
・ 教育計画
が必要な計画書として求められています。
また、これらの計画には、事業者の代表者の承認が必要です。

3.3.7 緊急事態への対応
緊急事態とは、個人情報の漏えいや、本人に迷惑をかけてしまう事象などを総称しているものです。
いわゆる、個人情報の事故とも呼ばれる状況です。

それらが発生した時には、次のような手順を策定し、迅速に対応しなければなりません。
・ 事故が発生した場合に本人に迅速に通知するか、本人が知ることの出来る手順
・ 事実関係を公表する手順
・ 事実関係を関係機関に報告する手順
また、公表する手順だけではなく、発生時に迅速に対応し、解決する手順も必要となります。