ここではステップ8までの経過に基づき、実施すると決めたことを内部規程としてまとめる。 PMSは自社のマネジメントシステムであり、事業者の業種や規模や既存の他のシステムとの整合性があって実効性のある、身の丈に合ったものでなければならない。したがって、内部規程には定められた構成(雛型)は存在しない。内部規程ができてからそれに実体をあわせるのではなく、実体ができてからそれを内部規程化するのが順序である。内部規程は事業者にとって最も運用しやすい構成で作成すると良い。
PMSの実施にあたり、最低限、JIS規格の求める規定が必要である。全ての従業者が内部規程を順守して個人情報の保護を実現するためには、具体的な手順、手段等が詳細に規定されていなければならない。
- 個人情報を特定する手順に関する規定
- 法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
- 個人情報に関するリスクの認識、分析及び対策の手順に関する規定
- 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
- 緊急事態(個人情報が漏えい、滅失又はき損をした場合)への準備及び対応に関する規定
- 個人情報の取得、利用及び提供に関する規定
- 個人情報の適正管理に関する規定
- 本人からの開示等の求めへの対応に関する規定
- 教育に関する規定
- 個人情報保護マネジメントシステム文書の管理に関する規定
- 苦情及び相談への対応に関する規定
- 点検に関する規定
- 是正処置及び予防処置に関する規定
- 代表者による見直しに関する規定
- 内部規程の違反に関する罰則の規定
担当部署に依存する詳細な部分は、当該担当部署に協力要請して規定させることがPMSの実効性を高めるためには望ましい。
その際には、事前に担当部署に対して個人情報保護方針、基本規定を十分に説明し理解させておくことが必須である。
当該部署により規定された部分については、 PMS委員会が個人情報保護方針、基本規程との整合性を十分に確認し、不整合がある場合は担当部門の間で協議して改善していかなければならない。なお、担当部署を巻き込んだ詳細規程の作成方法を採ることによって、PMS策定の過程において、関係部門に個人情報保護方針、基本規程を周知することができるという効果も期待できる。
なお、詳細規程については、既存の規程(例えば、罰則を規定した就業規則等)を参照して適用することも可能である。また、上記以外にも当該事業者の実情に応じて必要な事項を規定することが望ましい。事業者が所属する業界団体等が定めた個人情報保護に関するガイドライン、及び事業を規定した業法等も参考にすることが必要である。
先にも述べたとおり、業法等の法令がある場合はJISに優先するため、規程に反映しておくことが求められる。
内部規程がJISの要求事項に反しないように適合性を持たせて運用する。その後の運用でも規定が適合性を保つように維持していかなければならない。