SAAJTOP 目次 1適用範囲〜 2計画〜 3資源〜 4実施〜 5直接書面取得〜 6提供〜 
7匿名加工情報 8個人情報に関する権利          
「PMS要求事項【JIS Q 15001:2017】と「個人情報取扱規程」 管理策3   
  特定非営利活動法人 日本システム監査人協会 個人情報保護監査研究会
https://www.saaj.or.jp/shibu/kojin.html
主査:斎藤由紀子

   ▲ A.3.3計画〜     A.3.3.4 資源、役割、責任及び権限      ▼A.3.4 実施及び運用(準備中)

旧JISでは、”事業者の代表者”としていた用語は、新JISで、”トップマネジメント”に変更されました。用語は変わりましたが、PMSにおけるトップマネジメントの責任、個人情報保護管理者と個人情報保護監査責任者が、組織内部に属するものでなければならないことは、旧JISの規格と変わりはなく引き継がれています。なお、内部規程に”代表者”と記述されているものを訂正することまでは求めていません。

引用:日本規格協会「日本工業規格JIS Q 15001:2017個人情報保護マネジメントシステム要求事項」
赤字:【2006年版JIS】から追加、変更となった規格
青字:PMS監査研究会のコメント

A.3.3.4

資源、役割、責任及び権限

2006:3.3.4

トップマネジメントは、少なくとも、次の責任及び権限を割り当てなければならない。

トップマネジメントは、この規格の内容を理解し実践する能力のある個人情報保護管理者を組織内部に属する者の中から指名し、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わせなければならない。

個人情報保護管理者は、個人情報保護マネジメントシステムの見直し及び改善の基礎として、トップマネジメントに個人情報保護マネジメントシステムの運用状況を報告しなければならない。

トップマネジメントは、公平、かつ、客観的な立場にある個人情報保護監査責任者を事業者の組織内部に属する者の中から指名し、監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与え、業務を行わせなければならない。

個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、トップマネジメントに報告しなければならない。監査員の選定及び監査の実施においては、監査の客観性及び公平性を確保しなければならない。
付属書
B.3.3.4

"資源"とは、個人情報保護マネジメントシステムの確立、実施、維持及び継続的改善に必要な資源(本文の7.1)であり、具体的には人員、組織の基盤(規程、体制、施設、設備など)、資金などをいう。

個人情報保護管理者は、個人情報保護マネジメントシステムを理解し、実施・運用できる能力をもった者であることが望ましい。 個人情報保護管理者は、当該組織に係る個人情報の管理の責任者である性格上、いたずらに指名する者を増やし、責任が不明確になることを避けることが望ましい。したがって、事業部が複数あり個人情報保護管理者を複数名指名する場合には、当該者間での役割分担を明確にすることが望ましい。
個人情報保護管理者は、社外に責任をもつことができる者(例えば、役員クラス)を指名することが望ましい。

個人情報保護監査責任者は、社外に責任をもつことができる者(例えば、役員クラス)であって、個人情報保護管理者と同格又は上席者の中から指名されることが望ましい。

【Pマーク審査対応のポイント】

  • 「個人情報保護体制」(体制図)の整備
    • 個人情報保護管理者は、トップマネジメントの代理者として、また個人情報保護監査責任者は、トップマネジメントからの任命により監査を行う立場であることが体制図に示されていることが重要です。
    • また、体制図には「個人番号関係事務責任者」「個人番号関係事務担当者」を含めておく必要があります。
  • 「PMSに関する責任と権限一覧表」の整備
    • 旧JIS(2006年版)では、個人情報管理台帳の承認者、リスク分析表の承認者、各ただし書き適用時の承認者、苦情対応の承認者、是正処置立案の承認者など、各フェーズにおいて承認者が誰かを規定しているかどうかを審査していました。新JISでは、あらためて「PMSに関する責任と権限一覧表」を整備しておけば、各項目で規定せずとも問題ないことが明確にされています。 ただし、各フェーズで規定されている内容を訂正する必要はありません。

【3300個人情報取扱規程】サンプル

3.3.4 資源、役割、責任及び権限

当社はPMSを確立し、実施し、維持し、かつ改善するために役割、責任及び権限を定め、「3341-01個人情報保護体制別紙:3341-02PMSに関する責任と権限一覧表」で文書化し、トップマネジメントの承認を得て、従業者に周知する。またその管理に必要な資源を用意する。

2 トップマネジメントは、経営最高責任者として個人情報保護に関するすべての責任と権限をもつ。

3 個人情報保護管理者は、トップマネジメントにPMSの見直しおよび改善の基礎としてPMSの運用状況を報告する。

4 個人情報保護管理者は、個人情報の取り扱いを総括するために「事務局」を設置し、事務局長を任命する。

5 個人情報保護管理者は、リスクの顕在化又はそのおそれがあると判断した場合は、個人情報の取り扱いを監督するために、全社の各部門の責任者を対象に「管理委員会」を招集することができる。

 

A.3.3.5

付属書A

内部規程

2006:3.3.5

組織は、次の事項を含む内部規程を文書化し、かつ維持しなければならない。

a) 個人情報を特定する手順に関する規定
b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
c) 個人情報保護リスクアセスメント及びリスク対策の手順に関する規定
d) 組織の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
e) 緊急事態の準備及び対応に関する規定
f) 個人情報の取得、利用及び提供に関する規定
g) 個人情報の適正管理に関する規定
h) 本人からの開示等の請求等への対応に関する規定
i) 教育などに関する規定
j) 文書化した情報の管理に関する規定
k) 苦情及び相談への対応に関する規定
l) 点検に関する規定
m) 是正処置関する規定
n) マネジメントレビューに関する規定
o) 内部規程の違反に関する罰則の規定

組織は、事業の内容に応じて、個人情報保護マネジメントシステムが確実に適用されるように内部規程を改正しなければならない。

付属書
B.3.3.5

“内部規程を文書化し、かつ、維持する”とは、手順として確立したルールを文書化しておくことによって担当者が変わっても個人情報保護水準の継続性が保つことをいう。ルールが明文化されていないことも個人情報保護リスクの一つである。

内部規程の文書化には、A.3.3.3によって実施した個人情報保護リスクの特定・分析及び対策に基づく手順の文書化が含まれる。個人情報保護リスクの特定が十分になされていればその対策を内部規程として文書化する作業は容易である。内部規程の文書化とは、基本となる規程を形式的に定めるだけでなく、それを受けて細則、マニュアル、チェックリストなどを作成し、どのような行為をなすことが望ましいか、又は望ましくないのか、従業者が具体的に規範を参照できるように構成することである。内部規程は、必ずしも形式的に一本化される必要はなく、例えば、内部規程の違反に関する罰則は、就業規則で規定してもよい。

A.3.3.5d)は、個人情報を保護するための組織規程を含む。組織規程には、組織の各部門及び階層における権限及び責任が含まれる。

【Pマーク審査対応のポイント】

  • 新JIS規格の付属書Aでは、A.3.7.3マネジメントレビュー、A.3.8 是正処置 となりました。 しかし、A.3.3.5では、旧JISからの移行を考慮し、m)是正処置に関する規定、n)マネジメントレビューに関する規定と順序が逆になっています。規程は、組織が定める規程体系でよく、どちらでもかまわないとされています。
  • o)罰則の規定としては、「個人情報取扱規程」等で、” 当社のPMSに故意に違反した者、あるいは自らの職務を適正に遂行しなかった従業者(協力会社員は除く)は「就業規則」に従い懲戒の対象となるとともに、会社に損害を与えた場合は、損害賠償請求を行うことがある。”と規定しておくとよいでしょう。

【3300個人情報取扱規程】サンプル

3.3.5 内部規程

JIS Q 15001:2017要求事項 該当規程・様式
a) 個人情報を特定する手順に関する規程 「3300個人情報取扱規程」3.3.1
「3305個人番号関係事務規程」
b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規程 「3300個人情報取扱規程」3.3.2
「3320法令・指針・規範集」
c) 個人情報リスクアセスメント及びリスク対策の手順に関する規定 「3300個人情報取扱規程」3.3.3
d) 当社の各部門及び階層における個人情報を保護するための権限及び責任に関する規程 「3300個人情報取扱規程」3.3.4
「3341PMSに関する責任と権限一覧表」
e) 緊急事態(個人情報が漏えい、滅失又はき損をした場合)への準備及び対応に関する規程 「3300個人情報取扱規程」3.3.7
f) 個人情報の取得、利用、及び提供に関する規程 「3300個人情報取扱規程」3.4.2.1~3.4.2.9、4
「3305個人番号関係事務規程」
g) 個人情報の適正管理に関する規程 「3300個人情報取扱規程」3.4.3 
「3430安全管理規程」
h) 本人からの開示等の請求等への対応に関する規程 「3300個人情報取扱規程」3.4.4、4
i) 教育などに関する規程 「3300個人情報取扱規程」3.4.5
j) 文書化した情報の管理に関する規程 「3300個人情報取扱規程」3.5
k) 苦情及び相談への対応に関する規程 「3300個人情報取扱規程」3.6
l) 点検に関する規程 「3300個人情報取扱規程」3.7
m) トップマネジメントによる見直しに関する規程 「3300個人情報取扱規程」3.7.3
n) 是正処置に関する規程 「3300個人情報取扱規程」3.8
o) 内部規程の違反に関する罰則の規程 「3300個人情報取扱規程」5
「就業規則」

 

A.3.3.6

計画策定

2006:3.3.6

★年一回
(時期を定める)

組織は、個人情報保護マネジメントシステムを確実に実施するために、少なくとも年一回、次の事項を含めて、必要な計画を立案し、文書化し、かつ、維持しなければならない。

a) A.3.4.5に規定する事項を踏まえた教育実施計画の立案及びその文書化
b) A.3.7.2に規定する事項を踏まえた内部監査実施計画及びその文書化

 

付属書
B.3.3.6

計画は、組織における内部及び外部の課題、並びに利害関係者からの要求事項を踏まえて、長期、中期、短期に策定されることが望ましい。A3.3.6は、個人情報保護マネジメントシステムの計画策定に当たり、最低限求められる事項について定めている。

“必要な計画”には、教育、内部監査、安全管理計画(情報セキュリティ対策)、委託先の監督、マネジメントレビュー実施のための具体的な計画を含む。

計画の“文書化”とは、実施のための具体的な計画を、計画書として文書化することをいう。どのような計画書を作成するかについては、A.3.7.3のマネジメントレビューで把握された課題も踏まえ、組織の置かれた状況などを勘案して、個別に必要性を検討することが望ましい。

A.3.3.6a)の、“教育実施計画書”は、研修の年間カリキュラム、個別の研修プログラム(研修名、開催日時、場所、講師、受講対象者及び予定参加者数、研修の概要、使用テキスト、任意参加か否かの別など)、予算などによって構成する。

“A.3.4.5に規定する事項を踏まえた教育実施計画”とは、A.3.4.5の管理策を満たすために具体的な計画を策定することをいう。

A.3.3.6b)の“内部監査実施計画書”は、当該年度に実施する監査テーマ、監査対象、目的、範囲、手続、スケジュールなどによって構成する。

“A.3.7.2に規定する事項を踏まえた内部監査実施計画”とは、A.3.7.2の管理策を満たすよう具体的な計画を策定することをいう。

なお、内部監査の計画には、前回までの見直しの結果についてのフォローアップを含めてもよい。

【Pマーク審査対応のポイント】

  • 計画の種類
    • 年間計画書(教育、内部監査、安全管理対策、委託先監督、マネジメントレビュー)
    • 個別計画書(教育、内部監査)
  • 計画には、次の事項を含んでいること。
    • a)実施事項 (対象、実施日、場所、内容・・)
    • b)必要な資源(テキスト、チェックリスト、担当者・・)
    • c)責任者
    • d)達成期限
    • e)結果の評価方法(評価表、テスト、アンケート、報告書)
  • 計画は進捗管理し、結果を評価して、次年度の計画立案を行うこと。

【3300個人情報取扱規程】サンプル

3.3.6 計画策定

当社はPMSを確実に実施するために必要な教育、監査などの計画を立案し、トップマネジメントの承認を得て文書化し、維持する。

関連文書:

    • 「3303PMS年間計画書(兼点検表)」
    • 「3451PMS教育計画書(兼報告書)」
    • 「3721PMS監査計画書(兼報告書)」

 

A.3.3.7

緊急事態への
準備

2006:3.3.7

法第46条 (事業所管大臣)

法第47条 (認定個人情報保護委員会)

法第61条2項 (個人情報保護 委員会)

組織は、緊急事態を特定するための手順、及び特定した緊急事態にどのように対応するかの手順を確立し、実施し、かつ、維持しなければならない。

組織は、個人情報保護リスクを考慮し、その影響を最小限とするための手順を確立し、かつ、維持しなければならない。


また、組織は、緊急事態が発生した場合に備え、次の事項を含む対応手順を確立し、かつ、維持しなければならない。

a) 当該漏えい、滅失又はき損が発生した個人情報の内容を本人に速やかに通知するか、又は本人が容易に知り得る状態に置くこと。
b) 二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係、発生原因及び対応策を、遅滞なく公表すること。
c) 事実関係、発生原因及び対応策を関係機関に直ちに報告すること。
付属書
B.3.3.7

緊急事態を特定するための手順及び特定した緊急事態にどのように対応するかの手順(対応手順)の策定に当たっては、次のような事項を考慮することが望ましい。

緊急事態及び事故が最も起こりやすい場面
予想される被害の規模
被害を最小限に抑えるための一次的な対処方法
組織内の緊急連絡網及び組織外への報告手順の確立
再発防止処置を実施する手順
緊急時対応についての教育訓練

A.3.3.7のa)~c)の事項を実施するに当たっては、例えば、どのような場合にどのような手順になるか、法令等に従って対応を定め、その対応に従い実施することが望ましい。

A.3.3.7b)の事案の公表に際しては、公表によって本人などへの二次被害を招かないように、被害の重篤性を踏まえたうえで、公表する内容、手段及び方法を考慮することが望ましい。また、個人情報の取扱いの全部又は一部を受託している受託者については、委託契約において何ら取決めがない場合は、委託者と相談の上実施することが望ましい。

表B.1 
表示事項整理表

本人に速やかに通知するか、又は本人が容易に知り得る状態に置く

  • □当該漏えい、滅失又はき損が発生した個人情報の内容

可能な限り遅滞なく公表する。

  • □事実関係、発生原因及び対応策

【Pマーク審査対応のポイント】

  • 「緊急事態発生」時には、代表者の指揮のもとで、規定した対応手順が実施される必要があります。
  • 「本人への連絡」は最優先とし、二次被害防止の観点から必ず本人に伝わる手段でなければなりません。
  • 「個人情報保護委員会」について:
    • 法的に公正取引委員会と同列の権限を持つ。
    • 旧JIS(2006年版)で規定していた主務大臣への報告は廃止され、事業者への監督権限が「個人情報保護委員会」に一元化された。ただし、法第44条、法第46条により、金融庁長官、厚生労働大臣、国土交通大臣、国家公安委員会等の事業所管大臣に権限が委任されることができるとされた。
    • 事業所管大臣は、その権限をさらに下位組織に委任することができる。
  • 事故発生時の報告先機関は、法第47条(認定個人情報保護団体)、もしくは法61条(個人情報保護委員会)により明確にされました。加えて、審査を受けた機関(JIPDECまたは各指定審査機関)に報告する必要があります。
  • 「運用の確認の記録」に、緊急事態が発生したかどうか、発生した場合は規定した通りに対処が行われたかどうか、を含める必要があります。
  • 最終的に「是正処置」の手順によって根本的な再発防止策が実施されなければなりません。

【3300個人情報取扱規程】サンプル

3.3.7.2 緊急事態の体制

  • トップマネジメントは、緊急事態発生時に指揮をとり早期解決を図る。各部門長(管理者)、連絡先(内線番号、携帯電話番号)および具体的な分担は「3371緊急時連絡網」に従う。
  • 2   各部門長は、「3371緊急時連絡網」および「3373事故報告書」を常時使用できるよう準備しておかなければならない。
  • 3   個人情報保護管理者は、「3371緊急時連絡網」を、毎年事業年度開始日、および組織変更時に見直し、各部門長に配布する。

3.3.7.3 緊急事態発生時の措置

緊急事態発生の発見者は、ただちに部門長に報告しなければならない。以後は下記の手順に従う。

2  緊急事態発生の報告を受けた部門長は、「3373事故報告書」の発生速報欄に記入し、「3371緊急時連絡網」に従って、速やかに個人情報保護管理者に報告する。

3  個人情報保護管理者は、3.3.7.1項のレベルA、B、Cのいずれに該当するかを判断し、「3373事故報告書」に追記してトップマネジメントに報告する。

4  トップマネジメントは「緊急対策会議」を招集し、以下の措置について、実施の可否および方法を決定する。

1 本人への連絡
(必須)
当該漏えい、滅失又はき損が発生した個人情報の内容を本人に速やかに通知(訪問、電話、メール、郵送など)し、又は本人が容易に知り得る状態(HP掲載など。ただし個人名は非公開)におく。
2 関連会社 親会社、取引先、委託元、提供元、関連会社、グループ会社など
3 関係機関(必須) 個人情報保護委員会、認定個人情報保護団体、審査機関(JIPDECなど)
4 警察 サイバーテロ等のおそれがある場合
5 公表 二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係、発生原因および対応策を遅滞なく公表する。
 ・社内通知
 ・自社HP公表
 ・マスコミ発表

5 特定個人情報の事故が発生した時は、個人情報保護委員会規則第5号「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」を確認し個人情報保護委員会への報告の要否を判断のうえ対応する。

6 個人情報保護管理者は、前項で講じると決定した措置のために「謝罪文」「公表文」などを作成し、トップマネジメントの承認を得て実施する。

7 講じると決定した措置は、緊急事態発生後の状況の変化に応じて、速やかに追加措置を講じなければならない。

3.3.7.4 再発防止措置

個人情報保護管理者は、緊急事態が収まり又は最悪の状態から脱した時期に、レベルA、B、Cを問わずすべての緊急事態発生について、類似案件が再発しないよう以下の措置を講じる。

2 緊急事態を発生させた部門長に「3801是正処置報告書」の作成を指示する。

3 「3801是正処置報告書」によって策定、実施された再発防止策について、緊急事態発生部門、および同様の事態が発生する可能性のある部門に対し、臨時の社内教育を実施する。

3.3.7.5 関係機関への事故報告

個人情報保護管理者は、緊急事態が収まり又は最悪の状態から脱した時期に、レベルA、B、Cを問わずすべての緊急事態発生について、「3373事故報告書」を作成し、トップマネジメントの承認を得たうえで「3371緊急時連絡網」に従い、審査機関である一般財団法人 日本情報経済社会推進協会(JIPDEC)プライバシーマーク事務局事故担当に提出する。

2 あわせて、「3371緊急時連絡網」に従い、認定個人情報保護団体に報告する。

3 個人番号の漏えいに関する事故の場合は、「3371緊急時連絡網」に従い、個人情報保護委員会に報告するとともに、一般財団法人 日本情報経済社会推進協会(JIPDEC)プライバシーマーク事務局事故担当に報告する

3.3.7.6 緊急事態に関するマネジメントレビュー

個人情報保護管理者は、1年間に発生した緊急事態の発生の内容と対応結果、サイバーテロなどの外部環境の変化、技術の進歩などを踏まえ、緊急事態への準備・対応に関する手順について有効性を評価し、マネジメントレビューのインプットとして報告しなければならない。

▼A.3.4 実施及び運用(準備中)