プライバシーマークを取得する際に個人情報に関する各種法令等を参考にし、それらをまとめた一覧表を作成し定期的に見直しを行なっていく必要があります。
個人情報保護に関する法令やガイドラインは多数ありますが、法令に関して言えば、個人情報保護に関する法律や取得する企業の拠点がある都道府県/市町村の条例は関連法令として特定しておく必要があると言えます。
ではガイドライン等はどうでしょう。
個人情報に関するガイドライン等は基本その企業の監督官庁が発行するものなので、自社の主務官庁の個人情報に関するガイドライン等に準拠すればよいと考えられがちです。
プライバシーマークを取得する企業・団体が業界関係なく準拠する必要があるガイドライン等としては
・雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針
・雇用管理に関する個人情報のうち健康情報を取り扱うにあたっての留意事項について
・個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
これら上記3つについては企業/団体の主務官庁関係なく特定する必要があります。
上記2つの雇用管理に関するものについてはどんな企業/団体であっても人を雇う必要はあり、その中で必ず個人情報を取得するので特定し、準拠する必要があると言えます。
経済産業省のガイドラインについてもたとえプライバシーマークを取得するのが学校法人で主務官庁が文部科学省で経済産業省が関係ないと言っても、特定しておく必要があります。
理由は明確に明示されていませんが、プライバシーマーク制度自体が経済産業省の外郭団体である一般財団法人日本情報経済社会推進協会の認証制度である点、またガイドライン自身がプライバシーマークを意識した内容で構成されていることが理由にあるかもしれません。
最低限参照法令として特定しておく必要があるものはこれらになりますが、後は取得する企業/団体の事業に関する法令・ガイドライン等を特定しておく必要があります。