お役立ちコラム
2022/09/16
個人情報保護方針は「必要に応じて改正する」と言われますが、この必要とはなんですか?改正はいつおこなうのでしょうか?
改正する必要性とは、個人情報保護に影響を及ぼす事業環境の変化で、例えば次のようなことが挙げられます。
- 取引先からの個人情報安全管理措置の変更要求などの外的環境の変化
- 関連法規の改正があった。
- 監督官庁や関係団体による注意喚起があった。
- 新たなサイバー攻撃の発生と増加を報じるニュースが増加し、会社として対策を講じた
- 部署の新設、統廃合などの社内環境の変化
- 新しいシステムセキュリティ方式の導入
以上のような事象が発生するか、発生の恐れがあるときが考えられます。
例えば、取引先からの個人情報保護の要求変更がある場合や、あたらしいシステムを導入し個人情報にまつわる、社内規則と手順を変更したら、個人情報保護方針も「必要に応じて改正」します。
改正した内容は従業者や顧客、取引先にあらためて周知する必要があります。「必要に応じて改正」を具体的な行動として考えてみましょう。
- 半年に1度は、個人情報保護方針の変更が必要な、外的環境、内的環境の変化がないかを評価する会議を開催し、会社としての打ち手を見直す。緊急時は開催期間を短縮します。
- 会議参加者は、個人情報保護管理者、監査責任者、個人情報保護に関係する社内の役職者等で個人情報保護対策の重要性を理解している人。
- 参加者は特定の業務や部署だけに偏らないように配慮すること。人数は7名以内が適切。
- 議題は、取引先の個人情報保護の要望変更、不正アクセスによるリスク評価などの、外的環境の多面的なリスク変化の視点と、システム変更や組織内部環境変化を取り上げ、個人情報保護方針の変更と更新が必要か論点を整理し、最終的な更新案を取りまとめること。
- 最終はトップマネジメントの判断を仰ぐこと。
トップマネジメントの判断が必要なのは、「個人情報保護方針」が従業者はもちろん、顧客や取引先を含めた事業方針とも重なる対外的メッセージだからです。
ここまでが「必要に応じて改正する」ことを意味します。