ISMS規程類として、「個人情報保護規程」を入れるには?
現在、当社では「個人情報保護規程」というものを作ろうとおもっています。
その規程の位置づけとして
「本規程はISO 27001の認証基準に基づいた個人情報保護に関する規程である」
としています。
JIS 27001の本文には個人情報保護に対する記述は無かったと記憶しています。
その場合「ISO 27001の認証基準に基づいた」という言い方は変ではないかと思うのですが、いかがでしょうか?
JIS Q 27001の本文とは、「01.序文~8.3予防処置」のことを言われていると思います。
なお、JIS Q 27001では、上記のほかにも「附属書A 管理目的及び管理策」も要求事項として位置づけられています。
「個人情報保護」に関しては、この「附属書A」の「A.15.1.4 個人データ及び個人情報の保護」にて記述がなされています。
—– JIS Q 27001:2006 附属書A より抜粋 —–
A15 順守
A.15.1 法的要求事項の順守
A.15.1.4 個人データ及び個人情報の保護
(管理策)
個人データ及び個人情報の保護は,関連する法令,規則,及び,適用がある場合には,契約条項のなかの要求に従って確実にしなければならない。
———————————————–
よって、規程の位置づけの言い回しとしては、
「ISO 27001の認証基準の附属書Aの「A.15.1.4」に基づいた」
とされると適切ではないかと思います。
ちなみに、「ISMS構築パッケージ」の中では、「附属書A A.15.1.4」に対しては、「B14 適合性管理規程」の「2.4
個人データ及び個人情報の保護(A.15.1.4)」にて規定しております。
例えば、
「詳細については、「個人情報保護規程」に記述する。」
という言い回しで、この規程から「個人情報保護規程」を参照(リンク)するように記述されても良いかと思います。
「ISMSマニュアル 1.2適用(2)適用除外項目」の定義について疑問があります。 ここでいう除外項目とは、弊社で行っている業務すべてのうち、適用範囲の業務以外の業務でしょうか。 それとも…