委託先の個人情報保護方針は適切ですか?

さて、皆様方は委託先の個人情報保護方針もしくはプライバシーポリシーまで簡単に辿り着けたでしょうか?

簡単に辿り着けたならば「個人情報保護方針が制定されている」というチェックリストの項目は「OK」ということになりますね。

でも、もしも見つからなかった場合にはどうされますか?
答えは簡単で、個人情報の利用目的に関する通知文書を実際に見せてもらいましょう。
その場合、単なる「雛形」ではなく、実際に記入された文書そのものを、です。
委託先が出し渋るようなら、その委託先は「要注意」と判断する方が後々禍根を残さないで済むと思われます。
理由としては、実際の運用が適切にされていない可能性があるからです。

その他、ごく稀ではありますが、注意を要するケースとして個人情報保護に関する方針らしき文書が複数存在する組織が挙げられます。
例えば「プライバシーポリシー」の他に「個人情報の取扱方針」のような名称の文書が存在しているような場合です。

皆様は既にご理解いただいていると思いますが、「方針・ポリシー、規程・規則、マニュアル」は法体系に置き換えると「憲法、法律、政令・省令等」に該当するとされています。

そのため、プライバシーポリシーの他に個人情報の取扱方針といった名称の文書が存在するということは「憲法」が複数存在するのと同じことと考えることができます。
よって、このような組織も委託先として「要注意」と判断する方が後々禍根を残さないで済むと思われます。
理由としては、実際に方針の作成に携わっている担当部署のスキルが求められるレベルに達していない可能性があるからです。

次回の投稿では、個人情報保護方針が見つからない、もしくは複数の方針が制定されるような組織がなぜ存在するのかについて、今までの経験をもとに説明していきたいと思います。

補足,
「個人情報保護方針」もしくは「プライバシーポリシー」の他に「個人情報の取り扱いについて」という文書が見つかった場合、取り扱いに関する文書はポリシーを補足する文書として位置づけられ、多くの組織で見受けられます。