プライバシーマークを取得する上で必ず作らないといけないものに内部規程(内部文書)があり、プライバシーマークの体制を運用するための根拠になる文書になります。
JISQ15001:2006にも下記のa)〜o)の内容を含む内部規程を作成するよう決められています
a) 個人情報を特定する手順に関する規定
b) 法令,国が定める指針その他の規範の特定,参照及び維持に関する規定
c) 個人情報に関するリスクの認識,分析及び対策の手順に関する規定
d) 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
e) 緊急事態(個人情報が漏えい,滅失又はき損をした場合)への準備及び対応に関する規定
f) 個人情報の取得,利用及び提供に関する規定
g) 個人情報の適正管理に関する規定
h) 本人からの開示等の求めへの対応に関する規定
i) 教育に関する規定
j) 個人情報保護マネジメントシステム文書の管理に関する規定
k) 苦情及び相談への対応に関する規定
l) 点検に関する規定
m) 是正処置及び予防処置に関する規定
n) 代表者による見直しに関する規定
o) 内部規程の違反に関する罰則の規定
(日本規格協会 個人情報保護マネジメントシステム-要求事項JIS Q 15001:2006から抜粋)
また、要求事項だけではなくプライバシーマークの審査には文書審査というものがあり、プライバシーマーク取得のために作成・提出した文書が要求事項であるJISQ:15001やそれに基づいて作成された審査項目に準拠出来ているか審査されます。
では次に問題になってくるのがどれくらいの文量の文書をどれだけの分冊で作る必要があるのかで、皆さん頭を悩まされます。
プライバシーマークを取得するのに特段、文書の文量や冊数は決められていません。
よく「100ページ以上必要」とか上のa)〜o)の項目各それぞれを別々に文書化する必要がある。など仰る方もおられますが、そんな必要はありません。
極端な話1冊でも良いですし、10冊でも良いわけです。重要なのは要求事項であるJISQ15001:2006で求められている内容を満たし、会社として運用がきちんと可能な文量であることだと言えます。