SAAJTOP 目次 1適用範囲〜 2計画〜 3資源〜 4実施〜 5直接書面取得〜 6提供〜 
7匿名加工情報 8個人情報に関する権利 9認識 10パフォーマンス評価〜 
「PMS要求事項【JIS Q15001:2017】と「個人情報取扱規程」 管理策2   
  特定非営利活動法人 日本システム監査人協会 個人情報保護監査研究会
https://www.saaj.or.jp/shibu/kojin.html
主査:斎藤由紀子

   ▲ 目次 A.3.3 計画、特定、法令等、リスクアセスメント    ▼A.3.3.4 資源、役割、責任及び権限 

プライバシーマークの審査では、事業で取扱う個人情報が漏れなく特定され、取得から消去・廃棄までのリスクを認識し、「個人情報管理台帳」や「リスク分析表」が、毎年見直されていることを確認します。その手順は文書化されていなければなりませんが、事業者の中には、複雑な規程や手順書を策定している事例も多く見られます。そこで、附属書A(規程)および附属書B(参考)の要求事項を確認しつつ、できるかぎりシンプルな規程として「3300個人情報取扱規程」のサンプルをご紹介したいと思います。

引用:日本規格協会「日本工業規格JIS Q15001:2017個人情報保護マネジメントシステム要求事項」
赤字:【2006年版JIS】から追加、変更となった規格
青字:PMS監査研究会のコメント
 JIS Q15001:2017 付属書A、付属書B

A.3.3 計画 (2006:3.3)
目的 個人情報の取扱いに関する計画を策定するため。

1.        

本文

適用範囲

この規格は、組織が、自らの事業の用に供している個人情報に関する、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、改善するための要求事項について規定する。この規格が規定する要求事項は、種類または規模を問わず、全ての組織に適用できることを意図している。この組織は、個人情報の保護に関する法律(平成15年法律第57号)(以下、個人情報保護法という。)に定める個人情報取扱事業者を意味する。

【Pマーク審査対応のポイント】

  • PMSの適用範囲は、2006年版JISと変更なく、事業者単位である。
  • “事業の用に供している”の“事業”とは、一般社会通念上事業と認められるものをいい、営利事業だけを対象とするものではない。
  • 従業者の個人情報は、事業の用に供している個人情報である。

【3300個人情報取扱規程】サンプル

1. 本規程の目的

本規程は、「日本工業規格JIS Q15001:2017個人情報保護マネジメントシステム要求事項」(以下、JIS Q15001:2017、又は規格と呼ぶ)に基づき、個人情報保護マネジメントシステム(以下PMSと呼ぶ)運用の具体的な手順を定める。

1.1 適用範囲

PMSは、当社の全従業者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員、取締役、執行役、理事、監査役、監事、派遣社員、受入出向社員)に適用する。 1.2 適用対象 PMSは、当社の事業の用に供しているすべての個人情報を適用対象とする。

1.2 適用対象

PMSは、当社の事業の用に供しているすべての個人情報を適用対象とする。

  

表A.1-管理目的及び管理策
A.3 管理目的及び管理策

A.3.3.1

 

付属書A

個人情報の特定

2006:3.3.1

組織は、自らの事業の用に供していての個人情報を特定するための手順を確立し、かつ、維持しなければならない。

組織は、個人情報の項目利用目的、保管場所、保管方法、アクセス権を有する者、利用期限、保管期限などを記載した個人情報を管理するための台帳を整備するとともに、当該台帳の内容を少なくとも年一回適宜に確認し、最新の状態で維持されるようにしなければならない。

組織は、特定した個人情報については、個人データと同様に取り扱わなければならない。

付属書B

2006:3.3.1
特定

2006:3.3.2
法令

2006:3.4.2 利用目的の特定

2006:3.4.3 適正な取得

2006:3.3.3 リスク分析

2006:3.4.3.3
従業者の監督

個人情報を特定する場合ある情報が個人情報に該当するかどうかは、情報の単体又は複数の情報を組み合わせて保存されているものから社会通念上“特定の個人を識別できる”と判断できるかによって、一般人の判断力又は理解力をもって生存する具体的な人物と当該情報との間に個人識別性を認めるに至ることができるかどうかを考慮して判断する。また、組織は、個人情報に該当するかどうかの判断は、A3.3.2に基づいて行うことが求められる。

さらに、この規格の趣旨を踏まえて死者の情報の適正な取り扱いと管理が必要であると判断される場合は、死者の情報も対象とすることが望ましい。その理由は、故人の個人情報が遺族の個人情報として解されることがあり、また、その利用目的との関係において、生死の別を厳格に管理しない場合もあるからである。さらには、事業活動においては、契約によって取得している個人情報も多く、その一方当事者の死亡をもって、即時に個人情報マネジメントシステムの対象情報から除外するというものでもないからである。
なお、死者の情報には、歴史上の人物まで対象とする必要がない。

個人情報を管理するための台帳に記載する事項は、A.3.3.1に示す事項のほか、必要に応じて、要配慮個人情報の存否、取得の形態(本人から直接書面によって取得するか否か)、利用目的などの本人への明示又は通知の方法、本人同意の有無、本人への連絡又は接触及び第三者提供(共同利用を含む)に関する事項、委託に関する事項などを含めることが望ましい。

組織は、事業において利用する全ての個人情報について台帳整備が必須であるというわけではなく、また、個人情報の取扱いについては、その個人情報の利用目的を特定した上で、その利用目的の範囲内で、個人情報保護リスクに応じて個々の従業者に委ねるなど、柔軟な取り扱いとしてもよい。

“組織は、特定した個人情報については、個人データと同様に取り扱わなければならない。”とは、A.3.4.2、A.3.4.3において、個人データに対する管理策だけが示される場合であっても、特定した個人情報については、A.3.3.3に基づき個人情報保護リスクに応じて、必要かつ適切な安全管理措置を講じることをいう。 例えば、従業者に個人情報を取り扱わせる場合に、A.3.4.3.3と同等に従業者に対する監督を行うことがこれに該当する。また、委託先への個人情報の提供又は委託先との間での個人情報の授受に伴い、個人情報の受け渡しが発生する場合に、受け渡し時の手順を規定の上で実施することも、これに該当する。 

【Pマーク審査対応のポイント】

  • 台帳の件数は、概数でよい。台帳管理の主旨は、1件残らず漏れなく管理していることの証明ではない。
  • 要配慮個人情報を取り扱っている部門では、台帳に「本人同意の有無」の項目が必要となる。
  • 法律では、個人情報と個人データを区別しているが、JISでは同様に取り扱うこととなる。
  • “法律に基づいて行う”とは、個人番号を番号利用法で規定する利用目的の範囲で取扱うことなどを指す。

【3300個人情報取扱規程】サンプル

3.3 PMS 年間計画

個⼈情報保護管理者は、毎年PMS 運⽤年度開始⽇までに次年度の「3341-01 個⼈情報保護体制」およ
び「3303PMS 年間計画書(兼点検表)」を策定し、トップマネジメントの承認を得て、全従業者に通知
する。


2  「3303PMS年間計画書(兼点検表)」には、毎年1回以上実施する、個人情報の特定(3.3.1)、法令、国が定める指針その他の規範(3.3.2)、リスクアセスメントおよびリスク対策(3.3.3)、認識(3.4.5)、パフォーマンス評価(3.7)、マネジメントレビュー(3.7.3)の実施について具体的な日付を明確にしなければならない。


3  「3303PMS年間計画書(兼点検表)」に定めた時期以外にも、法令等の改定、事務所の移転、事業環境の変化などに伴う、リスクアセスメントおよびリスク対策(3.3.3)、緊急事態発生等に伴う、認識(3.4.5)、パフォーマンス評価(3.7)、マネジメントレビュー(3.7.3)については、事象が発生後速やかに実施しなければならない。

3.3.1 個人情報の特定

当社の事業の用に供するすべての個人情報を特定し、目的外利用を行わないため、各部門長は「3303PMS年間計画書(兼点検表)」に定めた時期に、自部門で取扱う個人情報について以下の作業を実施し、共有サーバー上の ¥PMS事務局¥PMS提出用フォルダ に作成したファイルを提出すること。

2  業務フローの作成

各部門長は、個人情報を取扱う業務について、様式「3311業務フロー」を用いて、個人情報の取得から廃棄に至るまでのライフサイクルについて特定すること。新規事業を開始するときにも同様とする。

※:ファイル名:部門名+業務フロー+作成年月日 (例:営業課業務フロー20xx0901.xls)

業務フローは、以下の1~7の「ライフサイクル」の取扱いを明確にする。

1

取得
・入力

取得

・本人から直接書面取得
・受託、第三者提供、共同利用などで取得
・Webサイトなどから本人が入力したデータを受信 

入力

・取得した個人情報を情報システムに入力

2

移送
・送信

移送

・交通機関、社用車などで、手持ちで持ち運ぶ
・郵便、宅配便などで送付

送信

・電子メール添付ファイルで送受信
・FAX送受信
・ネットワーク回線で送受信

3

利用
・加工

利用

・サービスの提供、商品の発送など

加工

・利用のための複写、複製、印刷、変更など

4

提供

第三者提供

・第三者が利用可能な状態に置く

共同利用

・特定の者との間で共同して利用

5

委託

・個人情報の取扱いを、自社と同等の管理状態で他社に委ねる

6

保管・
バックアップ

保管

・紙、電子媒体をキャビネット、保管庫などに収納

バックアップ

・電子データの遠隔地もしくは別の媒体に保管

7

廃棄
・消去
・返却

廃棄

・媒体の廃棄

消去

・電子データの消去

返却

・媒体の返却

3 個人情報管理台帳の作成

「3311業務フロー」で特定した個人情報を、様式「3312個人情報管理台帳」を用いて列挙し、各個人情報の取扱いについて明確にすること。ライフサイクルが同じ個人情報については1行にまとめてよい。

※:ファイル名:部門名管理台帳作成年月日(例:営業課管理台帳20xx0901.xls)

「3312個人情報管理台帳」の管理項目

1

種類

取扱いが同じ文書は、1行にまとめてよい。

2

媒体

同じ内容であっても、原紙、PC上のデータ、サーバー上のデータなど媒体や保管場所の異なる場合には行を分けること。

3

個人情報の内容

氏名、住所、年齢、メールアドレス、学歴、職歴、クレジットカード情報、要配慮個人情報、個人番号など。

4

利用目的

できる限り具体的に特定する。

5

取得・入力

本人から直接書面で取得か直接書面以外か、入力したものかなど。

6

取得手段

手渡し、郵便、書留、宅配便、Web、メールなど。

7

件数

できる限り実態に近い数を記入。累積、年、月、回などの単位が必要。

8

社内引き渡し先

原本やコピーの引き渡し先を記入。

9

開示区分

本人から直接書面で取得する場合は、原則として開示対象となる。

10

取扱権限

業務担当者、個人番号利用事務担当者、役職名などを記載する。

11

保管場所

金庫、施錠キャビネット、鍵付袖机、サーバーなど保管場所を記載する。

12

保管期間

契約終了後、退職後などを起算日とする。永久保存はできるだけ避ける。

13

委託先・提供先

○○社労士事務所、○○データセンターなど具体的な組織名を記載する。

14

廃棄・返却

シュレッダー、廃棄業者、データ消去など。

15

要配慮個人情報等

要配慮個人情報(=要配慮PI同意)、個人番号(=MYN通知)

16

リスク分析表

リスク分析表へのリンク先を記載。(安全対策はリスク分析表に記載する)

4 以下については「3312個人情報管理台帳」に特定せずに「3430安全管理規程」5に取扱いルールを定める。

1

従業者名が記載された業務報告書、議事録、稟議書等

2

取引先と交わした契約書、見積書、請求書等のBtoB文書

3

ソフトウェア開発、運用の受託業務で、常駐する客先において触れる可能性のある個人情報

4

個人が管理する名刺

5

各従業者のPCに到着したメール情報、アドレス帳

6

会社貸与の携帯電話に保管された電話帳

7

グループ企業のエクストラネット上で、参照のみ可能な他社の従業者情報

8

本人確認のため閲覧するだけの書類(免許証、通知カード、番号カード等)

5 個人情報管理台帳の承認

個人情報保護管理者は、部門長が提出した「3311業務フロー」および「3312個人情報管理台帳」を確認し、承認する。記載漏れなどがあれば差し戻して再提出させることができる。

6 個人情報管理台帳の統合

個人情報保護管理者は、部門長が提出した「3312個人情報管理台帳」を全社で統合し、個人情報保護管理者および事務局のみがアクセスできる ¥共有ファイルサーバーに保管する。

7 業務フローおよび個人情報管理台帳の見直し

個人情報保護管理者は、毎年「3303PMS年間計画書(兼点検表)」に従い、期限を定めて各部門長に「3311業務フロー」および「3312個人情報管理台帳」の見直しを指示する。

各部門長は、個人情報保護管理者から指示された時期以外に、以下の場合には、「3421個人情報取得・変更申請書」に必要事項を記載し、「3311業務フロー」、「3312個人情報管理台帳」および「3313リスク分析表」の見直しを実施し、PMS事務局¥PMS提出用フォルダ にファイル名を更新して提出し、個人情報保護管理者に連絡して承認を得る。

1

個人情報の特定漏れに気付いたとき。

2

新しい個人情報取扱業務が発生したとき

3

業務の変更・終了など、取扱いに変更が発生したとき

4

「3312個人情報管理台帳」の記載項目の内容に変更が生じたとき。(ただし、件数など都度更新することが実務上適当でないと判断した場合は、年一回の更新のみでもよい)

 

A.3.3.2

付属書A

法令、国が定める指針及びその他の規範

2006:3.3.2

組織は、個人情報の取扱いに関する法令、国が定める指針及びその他の規範(以下、“法令等”という。)を特定し参照できる手順を確立し、かつ、維持しなければならない。

付属書
B.3.3.2

この規格は、組織が個人情報の取扱いに関する法令、国が定める指針及びその他の規範に基づき個人情報を取り扱うことを前提としている。

法令等には、
①法[個人情報の保護に関する法律(以下、個人情報保護法という。)、
   行政機関の保有する個人情報の保護に関する法律(平成15年5月30日法律第58号)、
   独立行政法人等の保有する個人情報の保護に関する法律(平成15年5月30日法律第59号)]
②個人情報の保護に関する基本方針、
③政令[個人情報の保護に関する法律施行令(平成15年12月10日政令第507号)]、
④施行規則(個人情報保護委員会規則) 、
⑤個人情報保護委員会ガイドライン 、
⑥関係省庁ガイドライン、
⑦認定個人情報保護団体の指針、
⑧地方公共団体が制定する条例、
⑨その他、 行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(平成25年5月31日法律第27号)

などの個人情報保護に関する法令が含まれる。

 

【Pマーク審査対応のポイント】 上記の他以下を特定すること

  • 個人情報保護法ガイドライン[通則編]
  • 個人情報保護法ガイドライン[外国にある第三者への提供編]、同[第三者加工提供時の確認・記録義務編]、同[匿名加工情報編]については、該当する事業を行っている事業者は必須。
  • 特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則 (個人情報保護委員会規則第五号)
  • 特定個人情報の適正な取扱いに関するガイドライン(事業者編)含:特定個人情報に関する安全管理措置
  • 雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項(個人情報保護委員会事務局長、厚生労働省労働基準局長通知)

【3300個人情報取扱規程】サンプル

3.3.2 法令、国が定める指針その他の規範

個人情報保護管理者は、個人情報の取扱いに関する法令、国が定める指針、その他の規範(自治体の条例および自社の事業に関係するガイドライン等)について、「3320法令・指針・規範集」にURLを特定して自ら承認し、全従業者が常時参照できるよう共有ファイルサーバーに保管する。

2 「3320法令・指針・規範集」の見直し

個人情報保護管理者は、「3303PMS年間計画書(兼点検表)」に従って、「3320法令・指針・規範集」に記載した法令、指針、条例、その他の規範(以下法令・規範等という)が改定されているかどうかを確認し、改定があった場合は「3320法令・指針・規範集」を見直す。また、個人情報保護管理者は、「3303PMS年間計画書(兼点検表)」で指定した見直し時期にかかわらず、法令・規範等の改定を知ったときは、「3320法令・指針・規範集」を見直す。

3 PMSへの反映

個人情報保護管理者は、法令等の新規制定、改定、廃止に伴い、自社のPMSの改善が必要と判断した場合には、速やかに3.8 是正処置の手順に従い、PMSに反映させる。

4 従業者への周知

個人情報保護管理者は、自社の事業に影響する法令・規範等の改定内容をメールによって全従業者に通知すること。

 

A.3.3.3

付属書A

リスクアセスメント及びリスク対策

2006:3.3.3

組織は、A.3.3.1によって特定した個人情報について、利用目的の達成に必要な範囲を超えた利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならない。

組織は、A.3.3.1によって特定した個人情報の取扱いについて、個人情報保護リスクを特定し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならない。

組織は、現状で実施し得る対策を講じた上で、未対応部分を残留リスクとして把握し、管理しなければならない。

組織は、個人情報保護リスクの特定、分析及び講じた個人情報保護リスク対策を少なくとも年一回、適宜に見直さなければならない。

付属書
B.3.3.3

A.3.3.3は、個人情報保護の観点から、情報セキュリティ対策の観点だけではなく、個人情報保護リスクの観点からのリスクの特定、分析および対策を行うよう求めている。個人情報保護リスクは、本文の3.43で定義するように、法令等に対する違反、想定される経済的な不利益、社会的な信用の失墜などのおそれも含んでいる。

“利用目的の達成に必要な範囲を超えた利用を行わないため、必要な対策を講じる手順”には、例えば、利用目的が定められていない個人情報については利用することができない旨の手順も含まれる。

“個人情報保護リスクを特定”とは、特定した個人情報が含まれる媒体の取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄に至る一連の流れの各局面において、適正な保護措置を講じない場合に想定されるリスクを洗い出すことをいう。

“必要な対策を講じる”とは、分析した個人情報保護リスクに対し、その評価に相応した合理的な対策を講じることをいう。

"合理的な対策"とは、組織の事業内容や規模に応じ、経済的に実行可能な最良の技術の適用に配慮することである。

“残留リスク” とは、個人情報保護リスク対策後に残る個人情報保護リスクのことである。

“少なくとも年一回、適宜に見直さなければならない”とは、リスクは、技術の進展、環境の変化などによって変動するものであることから、個人情報保護リスクの特定・分析及び対策は、一度だけ実施すればよいものではなく、継続的な見直しが必要であることをいう。

【Pマーク審査対応のポイント】 上記の他以下を特定すること

  • リスク分析表に記載された対策が、内部規程に反映されていることを確認する。
  • 特定したリスクに対する対策については、「運用の確認の記録」(A.3.5.3i) )により、リスクが顕在化していないかを点検する必要がある。
  • 事故が発生した場合は、リスク分析の見直しは必須である。
  • 少なくとも、年一回、適宜に見直す必要がある。リスクに変化が無かった場合も、確認した日付に更新すること。

【3300個人情報取扱規程】サンプル

3.3.3 リスクアセスメント及びリスク対策

3.3.3.1 「リスク分析表」の作成

3.3.1で特定した個人情報について目的外利用を行わないため、個人情報の取扱いの各局面におけるリスクを認識し、分析し、必要な対策を講じる手順を確立し、かつ実施手順を維持する。

2 「3313リスク分析表」の作成

各部門長は、「3312個人情報管理台帳」に特定した列挙したすべての個人情報について、ライフサイクルごとに発生するリスク(個人情報の漏えい、滅失又はき損、関連する法令・指針・規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ)を認識して「3313リスク分析表」を作成し、リスクに応じた対策を検討する。

※サンプル:「3313-01リスク分析表(従業者用)、(情報システム管理)」

3 リスク分析の実施

「3313リスク分析表」を用いて、安全管理対策を検討する。

4 リスク分析に基づいて対策を講じるかどうかの確認

「3313リスク分析表」の作成にあたっては、講じるとした対策が「3430安全管理規程」又はその他の規程にすでに規定されているかどうか確認し、その規程名称と条項番号を記入する。規定されていない場合は「規程検討」と記入する。

5 残留リスクの確認

「3313リスク分析表」によって検討した対策が、予算その他の事情で講じられない場合は、残留リスクとして記載し、「3303PMS年間計画書(兼点検表)」に転記して、リスクに応じた頻度で点検を実施し、リスクが顕在化していないことを確認すること。 ※サンプル:「3303PMS年間計画書(兼点検表)」

6 「3313リスク分析表」の提出と承認

各部門長は、作成した「3313リスク分析表」を、PMS事務局\PMS提出用フォルダ に提出し、個人情報保護管理者に報告する。個人情報保護管理者は、部門長が提出した「3313リスク分析表」を確認し、承認する。記載漏れなどがあれば差し戻して再提出させることができる。

7  「3313リスク分析表」の保管

個人情報保護管理者は、承認した証として、「3313リスク分析表」を、個人情報保護管理者および事務局のみがアクセスできる ¥共有ファイルサーバーに保管する。

 

3.3.3.2 リスク対策を規定する

「3313リスク分析表」によって「規程検討」とした対策については、以下の手順で規定する。

2 部門長は「3801是正処置報告書」を作成して、対策を規定するよう立案する。

3 個人情報保護管理者は、部門長が提出した「3801是正処置報告書」に基づき、具体的な規程の条文を立案し、「3801是正処置報告書」に添付してトップマネジメントの承認を得る。

4  個人情報保護管理者は、規程の改定内容を全従業者に通達し、従業者が常時参照可能な共有ファイルサーバーにて保管する。

3.3.3.3 リスク分析の見直し

個人情報保護管理者は、毎年「3303PMS年間計画書(兼点検表)」に従い、期限を定めて各部門長に「3313リスク分析表」の見直しを指示する。

2  各部門長は、個人情報保護管理者から指示された時期以外にも、少なくとも以下の場合には「3313リスク分析表」の見直しを実施し、PMS事務局\PMS提出用フォルダ にファイル名を更新して提出し、個人情報保護管理者に連絡して承認を得る。

1

「3311業務フロー」および「3312個人情報管理台帳」を変更したとき

2

業務に関連する法令・規範等の改定があったとき

3

組織変更等により、業務の流れが変わったとき

4

事業所の移転・模様替えなどで、安全管理上の変更が発生したとき

5

情報システムの導入・変更など、セキュリティ環境が変わったとき

6

緊急事態発生後、是正処置を講じるとき

A.3.3.4 資源、役割、責任及び権限