2009年08月18日

最近の指摘事項の傾向と対策(34)「3.5.2 文書管理」と「3.5.3 記録の管理」

本日は「3.5.2 文書管理」と「3.5.3 記録の管理」に関する指摘事項の傾向と対策です。
(ガイドラインP. 60-61)

まず、「文書」とは何か。

というのも、JIS Q 15001には、「文書」と「記録」という単語が使われていますが、それをこの規格自体には明確に定義されておらず、慣れないと混乱する可能性があるからです。

<定義>
文書:情報及びそれを保持する媒体。(JIS Q 9000:2006)
情報:意味のあるデータ。(JIS Q 9000:2006)
記録:達成した結果を記述した、又は実施した活動の証拠を提供する文書。(JIS Q 9000:2006)

したがって、「個人情報保護マネジメントシステム文書」といった場合、(a)個人情報保護マネジメントシステムを運用するために必要な明文化したルール群と、(b)それを運用する上で生じた活動の記録、の両方を含むと考えられます。

しかし、「個人情報保護マネジメントシステム文書」は、狭義には、(b)を除いた(a)、すなわち、記録を除いた明文化されたルール群を指すこともあります。

「3.5.2 文書管理」では、この狭義の「個人情報保護マネジメントシステム文書」の管理について要求しています。
(なので、わざわざ「この規格が要求するすべての文書(記録を除く。)」などと表現しているのです。)

そして(b)の管理については、次の「3.5.3 記録の管理」で要求しています。

「3.5.2 文書管理」で対象となるのは、いわゆる「○○規程」とか「○○細則」とか「○○マニュアル」といった類のものになるでしょう。

これらは、定期・不定期に見直され、改訂されます。

「3.5.3 記録の管理」で対象となるのは、例えば「入退館管理記録」とか「教育理解度テスト」とか「監査実施記録」とか「アクセスログ点検記録」などなど、自社のプライバシーマークに関する制度を実施する上で生じるあらゆる記録がこれに含まれます。

記録は通常改訂されません。というのも、記録の内容を改訂したら偽装になるからです。

記録を作成しやすいように、通常は「○○チェックリスト」や「○○申請書」などという定型様式を用意することもあります。

私たちはよくこれを「様式」とか「様式類」と言いますが、「様式」という単語はJIS Q 15001には定義されていません。

これを会社の就業規則になぞらえてみると、
「就業規則」= 狭義の「個人情報保護マネジメントシステム文書」
書き込み用の中身空白の「交通費清算用紙」=「様式類」
書き込んで提出された「交通費清算用紙」=「記録」
と考えることができるでしょう。

さて、審査の傾向と対策についてですが、「3.5.2 文書管理」の要求事項を満たすため「文書管理台帳」というようなものを作成し、そこに文書の発行・改訂日、改訂の内容と版数が書かれていれば問題ないでしょう。

この「文書管理台帳」に「記録」を含めるかどうかということですが、含める方が印象が良いようです。

審査員は、PMSの規程類と記録類の全体像を眺められる方が審査しやすいからでしょう。

「記録」については、「文書管理台帳」に含めるにしろ含めないにしろ、それぞれについて「保管期間」、「保管場所」、「保管責任者」くらいは定義しておいた方が良いでしょう。

また、この記録について、個人情報が含まれるものについては、「3.3.1 個人情報の特定」の要求事項に従って特定する必要があるでしょう。つまり、「個人情報管理台帳」とか「個人情報一覧表」に載せるということです。

※文中「ガイドライン」とは、特にことわりがない限り、
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―」を言います。
以下からダウンロードできます。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf
posted by endo at 11:30| Comment(0) | TrackBack(0) | 日記
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/31393137

この記事へのトラックバック