■個人情報保護の具体策　プライバシーポリシー
　企業の個人情報保護に対する第一歩は、個人情報取り扱いルールを作成し、社内での共有化を目的に、行動指針や具体化のための細目を検討することである。経営者は社外に向けてプライバシーポリシーを作成し、社内に向けて個人情報取り扱い規程を策定することが必要である。

　プライバシーポリシーは、企業の個人情報に関する方針であり、それ自体は、個人情報保護法において作成の義務はないが、策定し、公表した場合は個人情報保護法上の公表の義務を果たすことになる。また、個人の企業に対する「不安」の払拭、企業の個人情報保護への積極的な姿勢をアピールすることができる。

　例えば、プライバシーポリシーを策定、公表した場合、

など、基本事項を記載することで上記の要件を満たし、前もって無用なトラブルを回避するメリットにもなる。

　プライバシーポリシー策定についてのポイントは4点ある。法令の遵守、個人情報の目的外利用禁止、苦情処理対策・取り組み、個人情報訂正・利用停止手続である。企業は「言い分」を宣言するのではなく、ポイントにそって具体的に、個人（本人）からの目線で、個人情報に関する疑問、社内体制への疑問、対応窓口、応対の実際などについて、具体的に「公表」することが望ましい。

■個人情報取り扱い規程の作成
　外部に向けて、プライバシーポリシーを「宣言」しても、社内において周知徹底がなされなければ、社会的信頼を損ねることになりかねない。個人情報保護法を社内ルール化し、基本規程に基づき細則とマニュアル（具体的ツール／申請書・誓約書・契約書など）に簡素化することが望ましい。策定のポイントは3点あり、以下に詳細を述べる。

１．社内において実施可能なルール
　社内において、ルールは支障のないよう日常業務を支えるものであり、手続が著しく複雑化し時間を要しては、無駄に仕事量が増え、効率が悪くなる恐れがある。個人情報保護の観点から、情報取り扱い申請書、送信申請書、利用申請書、廃棄申請書などが、多岐にわたる部署間で申請・承認を要するようでは、IT化の効率を文書化が阻害する結果を招きかねない。個人情報保護法の社内ルール化は、できうる限り簡素化することが望ましい。

２．遵守者と権限者の役割分担
　個人情報を取り扱う現場社員が法のすべてを理解し、判断して業務を行うことはできない。そこで、社内における取り扱い方法を明確にし、それを管理、監督する権限者をおくことが望ましい。個人情報の利用目的の変更、第三者への提供、開示要求の例外判断などについては、トラブルの原因になる可能性があるので、権限者へ報告し判断を仰ぐ必要がある。また、事例によっては情報取得の適法性、個人情報の利用範囲も変化することを考え、権限者への相談が容易にできる体制が必要である。

３．個人情報取り扱いのルール
　個人情報保護対象は、「個人情報」「個人データ」「保有個人データ」であるが、現場でこのような概念を厳密に運用して業務にあたることはできない。社内規程では、取得、利用、管理、第三者提供、本人関与（本人要求）の際に、広く、生存する個人に関する氏名、生年月日を含む特定の個人を識別できる情報を「個人情報」とし、本人関与の際にも、保有個人データに該当しないため本人に開示しない場合でも、データベース化されていない個人情報の漏洩についても、流出を防ぐ手立てが必要である。個人情報保護法では、安全管理措置、従業者・委託者の監督責任が義務づけられているからである。