|
 |
4.プライバシーポリシーの作成と運用
既に会社に、プライバシーポリシーがある場合は別として、下記のような社内マニュアルを作成する事をお勧めします。
サンプルとして、JIS15001に添った形で弊社がTRUSTe取得に向けて作った物です。
コンブライアンスプログラムがプライバシーポリシーに変わっている、またウェブサイトやTRUSTよりに修正・簡略化しているのがミソです。
※長いので後半は、省略しています。
プライバシーポリシーの目的
JIS15001に対応した個人情報保護を実践する為のマネジメントシステムの基本規程に関して記載している。すなわち、当社が定めるプライバシーポリシーの最上位の文書として基本方針、全体概要、他のマニュアルの引用並びに各プロセスの相互関係を明確にし、TRUSTeの要求事項へ適合証明する為に作成する。
(ちょっと硬い文面ですね。もう少しわかりやすい方がベストです。)
1.適用範囲
- 当社が定めるプライバシーポリシーは、当社がウェブサイト上等で収集・取扱う個人情報や個人を特定出来る情報全ての保護について適用範囲となる。
- [適用組織に関して]
- インターメント株式会社に所属する全ての役員(非常勤役員含む)、全部門に対して適用する。すなわち全社員・アルバイトに適用する。
2.引用規格並びに遵守法規
- 【a】JISQ15001:1999 日本工業規格「個人情報に関するコンプライアンス・プログラムの要求事項」
- 【b】労働基準法・労働安全衛生法・雇用保険法・厚生年金法・健康保険法等、人事管理上必要な法規則
3.用語の規定
- 本規程において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
- [JISQ15001の3項で定義されている用語]
- 【a】個人情報
個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、または個人別に付けられた番号、記号その他の符号、画像もしくは音声によって当該個人を識別できるもの。(当該情報だけでは識別できないが、他の情報と容易に照合することが出来、それによって当該個人を識別できるものを含む)
- 【b】情報主体
一定の情報によって識別される、または識別され得る個人。
- 【c】事業者
事業を営む法人、その他の団体又は個人。
- 【d】管理者
事業者の内部において代表者によって指名されたものであってプライバシーポリシーの実施及び運用に関する責任と権限を持つ者。
- 【e】受領者
個人情報の提供を受ける法人、その他の団体又は個人。
- 【f】受領者
TRUSTe「watchdog system」(一部略)
- [管理者・監査責任者に関しての補足説明]
- 【a】代表者により任命され、当社のプライバシーポリシー構築、運用、改善に関して最高の責任と権限を保有する物
- 【b】代表者により任命され、当社のウェブ構築、運用、改善に関して最高の責任と権限を保有する物
- 【c】代表者により任命され、顧客からの問合せ苦情等の受付に関して最高の責任と権限を保有する物
- 【d】代表者により任命され、当社のシステム構築、運用、改善に関して最高の責任と権限を保有する物
- 【e】プライバシーコンサルタント
プライバシーポリシー構築支援・プライバシー教育・初期のウェブサイト監査・改善を行う物
4.プライバシーポリシー要求事項
4.1 一般要求事項
- 当社は、個人情報保護マネジメントシステムを有効に機能させる為、JISQ15001及びTRUSTeに準拠した当社独自のプライバシーポリシーを作成し、実施し、維持し改善する為に個人情報保護チームを構築する。
4.2 プライバシーステートメント
- 4.2.1 プライバシーステートメントは、社長が定め以下に文書化する。
- 4.2.2 個人情報責任者は、プライバシーステートメントを当社公式HPにて公表する。
- [個人情報保護方針]
- インターメント株式会社 プライバシー・ステートメント
- インターメント株式会社」は、「TRUSTeプライバシー・プログラムのライセンシー」です。
このプライバシー・ステートメントは 「インターメント株式会社のウェブサイト」をご利用いただく皆様に対して、プライバシー保護の為に行っている内容を開示しています。(以下略)
詳細は、http://www.inter-ment.co.jp/privacy/index.html
を見てください。
- 4.3.1 個人情報の特定
- 4.3.1.1
- 個人情報責任者は、当社で扱う全ての「個人情報一覧」によりイントラネット上にて台帳管理を行う。この台帳には、個人情報の名称、個人情報内容、収集目的、入手方法、情報管理責任者名担当部署、保管方法、アクセス権限範囲を定め、適用個人情報を明確にする。
- 4.3.1.2
- 新規に個人情報を収集する必要性が生じた場合は、「新規個人情報収集申請書」を作成し、個人情報責任者の責任者の承認を得た後収集活動を行う。
- 4.3.1.3
- 個人情報責任者は、「個人情報一覧」に記載する全ての個人情報について不正アクセス、個人情報の紛失、改ざん、破壊、漏洩のリスクについて定期的に分析する。
- 4.3.2 法令及びその他の規範
- 当社の個人情報保護に係わる法規並びに規範は、以下に挙げる法規制・規範である。
また、改訂の有無を関連するHP閲覧、通知、監視する担当者は、以下の通り。
- 社員情報(健康診断情報を含む) 担当 :社長
法規・規範名・・・労働基準法・労働安全衛生法・雇用保険法・厚生年金法・健康保険法等、人事管理上必要な法規則
- 4.3.3 内部規程
- 当社は、JISQ15001:1999が要求する以下に示す内部規程並びに当社が独自に必要と判断する内部規程を作成し、周知・維持する。
- 個人情報に関する収集・利用・提供及び管理の手順について「個人情報管理・運用マニュアル」に定める。
- 安全対策に関する手順・運用について「情報システム安全対策マニュアル」・「コンピュータウイルス対策マニュアル」を設ける。
- 個人情報保護に関して全社員に理解・教育してもらうために、個人情報教育テキストを月一度行う。
- 内部規定違反に関する罰則規定を「就業規則罰則規定」の適用を明確に定める。
(以下略)
- 4.3.4 計画書
- ウェブサイトの外部監査は、年に一度「TRUSTe更新時」に行う。
「教育規計画書」の規定ににより計画を作成し、社長の承認後を作成して実施する。
プライバシーポリシーの監査に関しても同時期に行う。
(以下略)
|
