個人情報保護法（平成15年法律第57号）の2005年4月1日施行に向けて、民間事業者は個人情報保護の仕組みを作らなければならない。 　個人情報保護の仕組みは、一般に「JIS Q 15001」に基づいて構築する。このマネジメントシステムの確立においては、経営者の方針を基に個人情報保護に対するスタンダード（標準）を設け、スタンダードの個々の事項について具体的な内部規定・手順書を定めなければならない。（TBCソリューションズ主任コンサルタント　植野俊雄）

　内部規定としては、まず、個人情報の利用目的の明確化、データの適正化、開示・修正への対応などについての業務規定（第12回を参照）を定め、さらに、共通な安全策についての内部規定、およびマネジメントシステムの運営についての内部規定を定める。

　安全策としては、

（1）社内の施設や事務所、設備などについての物理的対策、

（2）情報システムへの不正アクセス防止、アクセス管理、ログ採取、バックアップ、および、パソコンのクリアスクリーン（画面に機密情報を表示したままにしない）などの技術的対策、

（3）職責の明確化、教育･訓練、監視・報告、委託管理などの人的対策について具体的なルールを定める。

　技術的な対策などの詳細な運用操作については手順書を作成する。

　マネジメントシステムの運営としては、

（1）マネジメントシステムの確立、計画、実施・運用、維持・改善のPlan－Do－Check－Action（PDCA）サイクルが回るように運営ルールを定める。

　これら内部規定の全体の例を表に示す。

　次回は、確立したマネジメントシステムの実際の運用について解説する。