今回は、内部規程類の作り方、勘どころを解説します。

■ 内部規程の策定の要点
内部規程の策定の要点は、前回までのリスク分析、管理策の策定に基づき、実施すると決めた適正な管理策を内部規程としてまとめることにあります。
PMSは事業者個々の「個人情報保護マネジメントシステム」であり、事業者の業種や規模や既存の他のシステムとの整合性があって実効性のある、身の丈に合ったものでなければなりません。したがって、内部規程には定められた構成（雛型）は存在せず、適正管理等の実体ができてからそれを内部規程化するのが正しいあり方です。

PMSの実施にあたっては、最低限、以下の規定が必要であり、全ての従業者が内部規程を遵守して個人情報の保護を実現するためには、内部規程の中に具体的な手順、手段等が詳細に規定されていなければなりません。

■ 内部規程の策定手順
JIS Q15001：2006では次のように、内部規程の策定手順について解説しています。

■ 具体的な手順レベルの記述をした内部規程を作る
下の表をよく見ると、3.3〜3.9までの主要規定は全て具体的な手順レベルの記述をした、「内部規程」が必要であることにお気づきだと思います。沢山つくるのはたいへんだとお思いでしょうが、実はこれだけでは済まないのです。
以下をご覧ください。これが一般的な内部規程の一覧表であり、PMS実施に必要な記録・様式類です。

個人情報保護マネジメントシステム文書（記録・様式）一覧表

０１　個人情報保護方針
02個人情報保護基本規程	内部規程	計画書	記録・様式・ひな形
1　適用範囲
2　用語及び定義
3　要求事項
3.1 一般要求事項
3.2 個人情報保護方針			01 個人情報保護方針
3.3 計画
3.3.1 個人情報の特定	04 個人情報を特定する手順に関する規程		32 個人情報管理台帳
3.3.2 法令，国が定める指針その他の規範	05 法令、国が定める指針その他の規範の特定、参照及び維持に関する規程		34 個人情報に関する法令および規範の一覧表
3.3.3 リスクなどの認識・分析及び対策	06 個人情報のリスク分析と対策の手順に関する規程		33 個人情報リスク分析表
3.3.4 資源，役割，責任及び権限	07 各部門及び階層における個人情報を保護するための権限及び責任に関する規程		30-1 個人情報保護体制図
3.3.5 内部規程
3.3.6 計画書
3.3.7 緊急事態への準備	08 緊急事態への準備及び対応に関する規程 79 緊急事態対応マニュアル		30-2緊急時連絡体制図 30-3 緊急事態対応記録
3.4 実施及び運用	09-1個人情報取扱（部門・業務）規程 09-2従業者の個人情報取扱（部門・業務）規程 09-3個人情報取扱（部門・業務）マニュアル		31 個人情報新規取得申請書 41-1個人情報の授受記録 41-2個人情報の提供の記録 41-n利用記録、複写記録等を 適宜作成 71 告知文
3.4.1 運用手順
3.4.2 取得，利用及び提供に関する原則
3.4.2.1 利用目的の特定
3.4.2.2 適正な取得
3.4.2.3 特定の機微な個人情報の取得，利用及び提供の制限
3.4.2.4 本人から直接書面によって取得する場合の措置
3.4.2.5 個人情報を4.4.2.4以外の方法によって取得した場合の措置
3.4.2.6 利用に関する措置
3.4.2.7 本人にアクセスする場合の措置
3.4.2.8 提供に関する措置
3.4.3 適正管理	10-1 個人情報の適正管理に関する規程 10-2 入退室管理規定 10-3 入退室管理マニュアル 10-4 情報システムの管理に関する規定 10-5 委託管理に関する規程		30-4 区画区分一覧表 36-1 (従業員用)入退館記録(兼退館時チェックリスト） 36-2 セキュリティ区画入室申請書 36-3 入退室カード管理台帳 36-4 貸出用入退室カード管理台帳 36-5 社員証管理台帳 36-6 入館証管理台帳 36-7 開錠・施錠の記録 37 (外来者用)入退館記録簿 38 サーバ室入退記録簿 39 アクセス用ＩＤ管理簿 40 携帯用パソコンおよび磁気媒体管理簿 72 アクセスログ点検記録簿 73　委託先管理簿 74　委託先選定チェックリスト 75 個人情報委託契約ひな形 76　従業者の誓約書兼従業員の個人情報利用同意書
3.4.3.1 正確性の確保
3.4.3.2 安全管理措置
3.4.3.3 従業者の監督
3.4.3.4 委託先の監督
3.4.4 個人情報に関する本人の権利	12 本人からの開示等の求めへの対応と苦情及び相談への対応に関する規程		42 個人情報に関する申し立て申請書 43 個人情報等の苦情・相談お問合せ対応記録
3.4.4.1 個人情報に関する権利
3.4.4.2 開示等の求めに応じ る手続
3.4.4.3 開示対象個人情報に関する事項の周知など
3.4.4.4 開示対象個人情報の利用目的の通知
3.4.4.5 開示対象個人情報の開示
3.4.4.6 開示対象個人情報の訂正、追加又は削除
3.4.4.7 開示対象個人情報の利用又は提供の拒否権
3.4.5 教育	11教育に関する規程	44 教育計画書	45 教育実施記録
3.5 個人情報保護マネジメントシステム文書	03 文書管理規程		35 個人情報保護マネジメントシステム文書（記録）管理一覧表
3.5.1 文書の範囲（明確に示された）
3.5.2 文書管理
3.5.3 記録の管理
3.6 苦情及び相談への対応	12 本人からの開示等の求めへの対応と苦情及び相談への対応に関する規程 80 個人情報保護苦情相談対応マニュアル		43 個人情報等の苦情・相談お問合せ対応記録
3.7 点検	13 運用の確認と是正処置及び予防処置に関する規程 14 監査と是正処置及び予防処置に関する規程		46 運用確認年度計画書 47 部門運用確認結果報告書 48 全社運用確認結果報告書兼改善指示書 50 監査報告書兼改善指示書 51 是正処置及び予防処置の管理 77　監査報告書 78　監査チェックリスト兼改善計画〜フォロー
3.7.1 運用の確認
3.7.2 監査		49 監査基本計画書
3.8 是正処置及び予防処置
3.9 事業者の代表取締役による見直し	15 代表取締役による個人情報保護マネジメントシステムの見直しに関する規程		52 代表取締役による見直し実施記録

その他の資料（プライバシーマーク申請時の2006年版JIS対応状況確認表）
90-1 2006年版JIS対応状況表
90-2 2006年版JIS対応状況表項目添付別紙

内部規程の策定は、上の表のように、先ず3.2で策定した「個人情報保護方針書」をもとに「基本規程」を作成します。
「基本規程」は一般的にJIS Q15001の規定条文にそって自社の言葉で、現状を踏まえ基本的な内容を記述します。
「内部規程」は基本規程をもとに作成します。「内部規程」はその中に具体的な手順、手段等が詳細に規定されていなければなりません。もし、内部規程に手順レベルの記述をすることが不適切な状態（部門毎に手順が大きく異なる等）であれば、内部規程を更に部門マニュアル等の詳細規定に落とし込まなければなりません。

■ 監査を実施する
できあがった内部規程はJIS Q15001:2006に適合しているかの「監査」を実施してください。
この監査は「適合性監査」とよばれる保証型の監査です。この監査を実施する監査人はJIS Q15001:2006やプライバシーマーク制度に関する深い知識・経験・能力をもつ監査人であることが必要です。なぜなら、ここで監査人から「JISに適合した正しい内部規程である。」と保証されてはじめて、この後の「教育・トレーニング」や「運用・実施」に入ることができるからです。

間違いのある内部規程をもとに「教育」を実施し、間違った「運用」しても何にもなりません。このためにプライバシーマーク制度では、書類審査で内部規程等を細かくチェックしますが、本来はきちんと事業者自身で「監査」しておくべきです。
あまりにも書類審査において指摘項目が多い場合、この「適合性監査」が甘いと容易に想定でき、結果として、全体がいい加減なPMSだと予断を許すことにもなりかねません。
適切な内部規程作りの総仕上げは、監査にかかっているのです。