補足です。改定の主要な部分は以下のような内容のようです。怪我をした家族が病院に、安否を問い合わせても、病院側が個人情報の保護を理由に回答を拒否したり、いろいろ行き過ぎがいわれていることもあります。現在この法改正に合わせてJIS Q 15001改定原案が作成されているはずです。 不正な利益を得る目的で個人情報を漏らした従業員らを処罰する規定を追加するとともに、「表現、学問、信教および政治活動の自由を不当に妨げることのないように配慮しなければならない」との配慮規定を併記し、報道機関への情報提供などを過剰に規制しないようにしている。 ・・・とのことです。 今回の名刺の事例は、関係がないこととしか思えませんが。違った意味のことを名刺を事例に出していわれたのではないでしょうか。審査員の言葉の一部をこだわっても、それぞれの事例についてのご理解がないと、理解というのは法とJIS Q 15001のことですが、なかなか、審査員の言っている意味をつかむことが難しい場面もあるかもしれません。

＞インハウス情報をどこまで機密保持すればよいのでしょうか。 お客様の個人情報と同じレベルです。 となると、インハウス情報を使って業務を「社労士事務所」に委託する場合は、委託先との「個人情報保護の覚書」を締結する必要があります。 また、「提供したことを示す文書を残し」は、お手元の帳票に「受け渡し記録簿」のようなものがあると思いますが、それに記入することですね。 審査員の方が話されたのは、こういうことじゃないかと思いますよ。 また、JISQ15001の4.4.2.4、および4.4.4.3などをご参照ください。 （「提供したこと・・」は厳密には「提供あるいは委託したこと・・」の方が実情に合うのではないかなあ） 上記の詳細は次のＵＲＬもご参照ください。厚生労働省の指針です。 「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針について」 http://www.mhlw.go.jp/topics/2004/07/tp0701-1.html この指針を参照することは、Ｐマーク取得にも必要です。

補足に「名刺」は、個人情報扱いしなかったが、今後は、「名刺」も、個人情報扱いするという程度です。 より詳細な情報を、もし、ご存知ならば、ご回答いただけると幸いです。とありますが、名刺そのものは個人情報保護法の対象ではもともとありません。名刺を50音別にファイルしたり、パソコン上で検索したりできるようにすると該当するようになるかもしれません。 個人情報保護法　第二条 　この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。 ２　この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。 　 一　特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの 　 二　前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの →（令　個人情報データベース等　第一条）→データベースは電子媒体によるもののみとは限りません。目次をつけ、体系的に検索できる紙媒体の情報を含みます。・・・です。断片的に仕入れた知識を、基本に戻って体系的に確認しなおされるのがいいと思います。ややこしい言い方でですが、個人情報はすべて個人情報保護法に該当するわけではありません。JIS Q 1500では、 計画 4.3.1 個人情報の特定　事業者は、自ら保有するすべての個人情報を特定するための手順を確立し、維持しなければならない。事業者は、特定した個人情報に関するリスク（個人情報への不正アクセス、個人情報の紛失、破壊、改ざん及び漏えいなど）を認識しなければならない。 とあり、御社で、まず、定義することからはじめなければなりません。これは、入り口に当たる作業で、改めで言いますが、基本に戻ることをお勧めします。

No.1です。 （No.2の方、大事なアドバイスをありがとうございました） 知る限りでは、市販のＰマーク本で、Ｐマーク取得に必要なすべての規程・基 準・帳票などを載せている本はないです。 今、手元に６冊ありますが、「帳票が大事なのはわかった、でも、そこから先 の具体例を知りたいのだ！」って痛切な疑問には答えてくれません。 適切な回答にならず心苦しいのですが、すでに規定のカスタマイズも教育・監 査も終了されているのであれば、書店に行って、自社の現状に照らし合わせて 一番ぴったりくる本を選ぶのが一番だと思います。 （Web上で規定集などのＣＤを売っている会社もありますが、中身を見ていない ので何とも言えません・・） また、No.2の方が書かれたように、JIPDECサイトの参考資料に当たるのも良い と思います。 特に、「監査ガイドライン」はチェックに最適です。 取得活動の取り組みもかなり進んでいるように見受けられます。 実際に申請書作成をされても良いのではと拝察します。 作成過程で、自社に足らないものも見えてくると思いますよ。 「補足」を読んでのアドバイスとしては、 　・教育　：　全員１００％終了しているか、教育効果がわかるものをとって 　　　　　　　いるか（アンケートなど）、教育実施計画書と記録簿はあるか 　・監査　：　全部門終了しているか、計画書と記録簿はあるか、 　　　　　　　監査指摘事項とその対応についての記録はあるか 　　　　　　（是正処置報告書・・・など） 　・規定　：　JISQで要求される規定はすべてあるか、規定に沿った運用が 　　　　　　　できているか、その証拠はあるか（←帳票があって、記入して 　　　　　　　いるかどうか） などがあるかなあ。 　＞　規定集・手順書・帳票類のカスタマイズは、終わりません。 はい。身も蓋もない言い方ですが、これは終わりません。 ＰＤＣＡサイクルにのって、ずっと改善し続けることがJISQで要求されている からです。 ですから、終わらないことを気にされる必要はないです。 カスタマイズが続く＝改善し続けているということですから、むしろ、きちん と運用をされているのではと感じます。 あ、それからもう一つ。 規定は守れないくらいに厳格に作ってはいけません。 （守れるのであれば、どれだけ厳格な規定でも良いのですが。通常は、こんな ことやってたら仕事できねぇよ！となり、守られなくなります・・。 規定があるのに守られていない。これではＰマーク審査に通りません） 最後に、Ｐマーク専用ではないのですが、個人情報保護のリファレンス的な内 容なので、良く参照している本です。 『新版　個人情報保護と企業対応』　清文社　3400円　B5版　410ページ ご参考まで。

ぞぞれの言葉について、Pマーク一般に使われる言葉ではありません。それほど気にせずに、Pマークの一般的な事柄についてお知りになることで良いのではないでしょうか。おそらく、前の方の解説が正しいのでしょう。「記録の保存期間」とは云いますが、残存期間とは、一般には言わないと思いますし、基準も、なにが、当社の、あるいは、当事業所の「個人情報」であるかの基準が大事ですが、基準はそのほかにもいろいろ必要になります。 やはり、この種の情報の入り口はJIPDECでしょう。参照URLをたずねてみてください。いろいろな情報が山ほどあります。 審査員はたまに、難しい言葉を使いますが、基本的な事柄を勉強されて、特殊な言葉の使い方とか、考え方にあまりこだわらないほうが良いでしょう。Pマークの審査もずいぶん審査員によって審査の状況が違うウワサも聞きます。やはり、基本が大事でしょう。基本は法であり、JIS Q 15001でしょう。