プライバシーマークの要求事項の一つに、「法令、国が定める指針その他の規範」という項目があります。
「プライバシーマークを取得するくらいの会社さんであれば、当然法律のたぐいはきちんと守ってくださいよ」という主旨です。
そして、「どんな法律を守らなけばいけないか特定してね。具体的な法律の中身も参照できるようにしておいてね」とも言っています。
それ故、プライバシーマークを取得している会社さんは、たいてい適用される法規類を台帳に登録して、例えば法規類が掲載されているサイトにリンクを貼るなどして、それらの内容を参照できる環境を整えています。
では、どんな法規類が適用されるかというと、
「個人情報保護法」
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(経産省)
「雇用管理分野における個人情報保護に関するガイドライン」(厚労省)
「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項」(厚労省)
の4つが必須で、その他、本社や支店がある自治体の個人情報保護条例も含まれます。
実は、この個人情報保護条例がなかなか厄介なんです。
例えば、自治体相手にソフトウェアの受託開発をやっていて、それに付随して個人情報を預かってくる。そんな自治体の顧客を全国各地に抱えていたら…。
適用される条例が100や200は平気で増えます。
それらを全て台帳に掲載しなければなりません。
それだけでも大変な作業なのに、プライバシーマークはさらに過酷な要求を突き付けます。
「法規類が改定されていないか定期的にチェックしてね。改定されていたら台帳も直しておいてね」と。
こんなことを言ったら怒られますが、個人情報保護条例なんていい加減なもので、特に市町村の条例なんて、個人情報保護法の施行に間に合わせるために、他の自治体の条例を真似て慌てて作ったどれも同じような代物ばかり。その後もろくに改定されていないというのが実情です。
そんな条例を一つ一つチェックする…。アホ臭くなって手を抜くと、改正された条例がもれていて、そんな時に限って審査員にみつかってしまいます。(笑)
それでお勧めしたいのが、こちらのサイト。
『地方公共団体において制定されている個人情報保護条例』(消費者庁)
ポチッとすれば、目的の個人情報保護条例まで一跳び。
弊社の優秀なクライアントさんが見つけました。
単調な作業の一助になれば幸いです。