プライバシーポリシーに必ず含めるべきこと その2【Ｐマーク取得の基礎知識】

前回に引き続き、会社のプライバシーポリシーに盛り込む必要のある項目について1つずつ説明します。プライバシーマーク（Pマーク）を取得している企業は以下の項目をちゃんと盛り込んでいるか今一度確認してください。

セキュリティ事故への対応に関する会社の方針

プライバシーマーク（Pマーク）の認定を受けた会社であってもセキュリティ事故が起こる可能性はありますし、仮にそのような事故が今のところ起こっていなくても予防処置をとっておくことは必要です。

ここで言うセキュリティ事故とは不正アクセスや情報漏えい、その他個人情報が失われたり改ざんされたりする事態を指します。プライバシーポリシーにはそういったセキュリティ事故に対する自社の姿勢を明確に記しておかなければなりません。

この項目ではっきり示しておくべきなのは、事故の「予防」に関する自社の方針と「是正」に関する自社の方針です。

予防とは事故を“発生させないように”手を打つことで、是正とは起こってしまった事故を“再発させないように”手を打つことです。会社はこの両方について合理的な安全対策を施すことをプライバシーポリシーの中で宣言しなければなりません。

苦情への対応に関する会社の方針

事業をしていると、個人情報の取り扱いに関してお客様や取引先から苦情が出ることもあります。プライバシーポリシーにはそのような苦情や相談、要望に対して迅速で誠実な対応をする姿勢をうたわなければなりません。

一例として、いつでも苦情に対応できる組織体制を社内や社外に整えるよう努めることを記すのも良いかもしれません。

個人情報に関連した法令を守ることに関する会社の方針

日本には個人情報保護に関連した法令がいくつもあります。「個人情報保護法」などがその代表例です。

会社はそういったセキュリティ関連の法令のすべてを守る姿勢でいることをプライバシーポリシーに明記すべきです。もちろん国の法令のみならず行政機関が定めた指針やガイドラインも守る必要があります。

まとめ

今回の記事に取り上げた事故対応や苦情対応、法令順守などに関する点は、プライバシーポリシーの中でも特に会社のセキュリティに対する意識が反映される部分です。

いかに個人情報保護に真剣に取り組んでいるか。個人情報の取り扱いについていかにお客様やユーザーにわかりやすく指針を提示し、不安を和らげるよう努力しているか。こういった点がはっきりと表れるのが事故対応や苦情対応、法令順守に関する部分なのです。

次回に続きます。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】