プライバシーポリシーに必ず含めるべきこと その3【Ｐマーク取得の基礎知識】

前回の続きです。会社はプライバシーポリシーにどのような項目を含める必要があるのでしょうか。今回は最後の2点をお伝えします。

継続的改善に関する会社の方針

個人情報を保護するといっても、単なる思い付きや一時的な活動ではほとんど効果がありません。社内の一部の人だけが取り組めば良いというものでもなければ、セキュリティ事故が起きた時だけに取り組めば良いというものでもありません。

必要なのは継続的改善です

要は一時的ではなく“常に”個人情報保護に取り組むこと。部分的ではなく“組織全体を挙げて”取り組むこと。行き当たりばったりではなく“計画や体制やシステムを整えたうえで”取り組むこと。そして見直しを繰り返しながら個人情報保護の質を高めていくこと。これらが大事になってくるわけです。

プライバシーポリシーにはそのような継続的改善に関する会社の考え方をはっきりと示すべきです。具体的には「当社は、個人情報保護マネジメントシステムを継続的に見直し、改善します」などの表現が妥当と言えるでしょう。

代表者の氏名

正確に言うと、プライバシーポリシーとは会社の「代表者」が自社の個人情報保護に関する理念を宣言するための文書のことです。ですから責任を明確にするため必ず文面に代表者の氏名を記さなければなりません。

会社の代表者とは通常代表取締役のことですが、いずれにせよ会社登記に代表者として名前が記載されている人である必要があります。プライバシーマーク（Pマーク）認証審査の際に会社登記の写しなどを証拠として求められる場合があるのはそのためです。

まとめ

3回の記事に分けてプライバシーポリシーに含めるべき6つの項目を解説させていただきました。

もちろん6つの内容をこのとおりに分けて順番に書くようにという話ではありません。重要なのはこれらの内容がちゃんと文面に表れていることです。

自社のプライバシーポリシーが読みやすい内容かどうかもまた重要な点です。長い文章が必ずしも良いとは限りません。プライバシーポリシーの目的は自社の個人情報に対する姿勢を明らかにし、お客様の信頼を勝ち得ることにほかなりません。ゆえにお客様にとって理解できる内容かどうかは重要なことなのです。

さらに重要なのはプライバシーポリシーに定めたことを実践し、維持していくことです。定めただけで行動しなければ意味がありません。定めただけのプライバシーポリシーはお飾り程度の価値しかありません。

プライバシーマーク（Pマーク）を取得している会社はプライバシーポリシーにうたわれた理念が自社の日常業務に生きているかどうかを常に確かめなければならないと言えるでしょう。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】