SAAJTOP 目次 1適用範囲〜 2計画〜 3資源〜 4実施〜 5直接書面取得〜 6提供〜 
7匿名加工情報 8個人情報に関する権利 9認識 10パフォーマンス評価〜 
「PMS要求事項【JIS Q 15001:2017】と「個人情報取扱規程」   管理策9   
  特定非営利活動法人 日本システム監査人協会 個人情報保護監査研究会
https://www.saaj.or.jp/shibu/kojin.html
主査:斎藤由紀子

   ▲3.4.4  本人の権利      3.4.5 認識      ▼3.7パフォーマンス評価

他のマネジメントシステム規格との近接性のため、” 教育”は、”認識” となりました。”研修”、”教育”、”訓練”など、さまざまな手段によって身につけることを意味する ”認識” を確実にするために、旧JIS:2006と同様に、少なくとも年一回、適宜に行う必要があります。

マネジメントシステムを確実に運用するために、文書化は必要不可欠な要素です。旧JIS:2006の” 個人情報保護マネジメントシステム文書” から、”文書化した情報”と言い回しを変えています。

今回も、附属書A(規定)および附属書B(参考)の要求事項を確認しつつ、できるかぎりシンプルな規程として「3300個人情報取扱規程」のサンプルをご紹介したいと思います
引用:日本規格協会「日本工業規格JIS Q 15001:2017個人情報保護マネジメントシステム要求事項」
赤字:【2006年版JIS】から追加、変更となった規格
青字:PMS監査研究会のコメント

A.3.4.5

認識
 

2006:3.4.5

組織は、従業者が7.3に規定する認識をもつために、関連する各部門及び階層における次の事項を認識させる手順を確立し、かつ、維持しなければならない。

a) 個人情報保護方針(内部向け個人情報保護方針及び外部向け個人情報保護方針)
b) 個人情報保護マネジメントシステムに適合することの重要性及び利点
c) 個人情報保護マネジメントシステムに適合するための役割及び責任
d) 個人情報保護マネジメントシステムに違反した際に予想される結果

組織は、認識させる手順に、全ての従業者に対する教育を少なくとも年一回、適宜に行うことを含めなければならない。

付属書
B:3.4.5

“認識”とは、従業者に、A.3.4.5のa)~d)に定める事項を理解させ、自覚させ、個人情報保護体制における各々の役割・権限を確実に果たすことができるようすることをいう。

具体的には、従業者に対する教育を少なくとも年一回計画書(A.3.3.6)に基づき実施するにあたり、従業者の理解度確認を行うこと、アンケート又は小テストを実施するなどによって従業者の理解度を把握し、必要に応じて教育内容の見直しを図ること、及び教育を受けたことを自覚させる仕組みを取り入れることがA.3.4.5に適合する。

また、従業者に対する教育を実施した場合の欠席者を把握し、欠席者を対象としたフォローアップ教育及び/又は理解度確認を行うなどの措置を講じることもA.3.4.5に適合する。

【Pマーク審査対応のポイント】

  • ”7.3に規定する”とは、JIS規格本体の”7.3認識”を指す。
  • 文書の名称は、「教育計画書」や「教育計画書兼報告書」など、事業者が定めた名称で差し支えない。
  • 教材には、規格のa)〜d)を含めなければならない。
    • a)「個人情報保護方針」を教育することが追加された。方針は、組織の個人情報保護の理念を表すものだからである。
    • b) ”PMSに適合することの重要性及び利点”では、PDCAの手法を用いることについて認識させる。
    • c)”役割及び責任” では、すべての事業およびすべての組織をPMSの範囲とし、代表者をトップマネジメントとして、全従業者がPMSを適切に運用することを認識させる。
    • d)”PMSに違反した際に予想される結果”では、”本人の権利を侵害する” ことへの認識が重要である。また、就業規則の罰則規定が適用されることを認識させる。
  • 個人情報の漏洩事故の結果、組織が本人に支払う損害賠償金について、違反者がその責を負う罰則規程を定める組織が増えている。2004年に発覚した、ジャパネットたかた「顧客情報流出事件」では、51万件の個人情報流出に関与した社員に対し、組織が1億1000万円の損害賠償を求め、2008年5月15日、長崎地裁佐世保支部において全額認められた事例がある。
  • 「認識」の手段として、受講者の理解度確認を行うことは必須である。その結果、認識が不足している項目があれば、正解を説明し、可能な限り全項目について認識したことを目指す必要がある。特に重要な個人情報を取扱う従業者に対しては、認識が不足したままで当該業務に従事させてはならない。
  • 定期教育では、全従業者が受講し、十分に理解度したことを示す「受講者記録」が必要である。
  • 「教育報告書」には、教育の有効性の結果を報告しなければならない。
  • 新たに入社した者に対しては、業務に従事する前にPMS教育を実施しなければならない。
  • 1年間に実施した教育の結果は、次年度の教育計画の見直しに反映させることが重要である。

【3300個人情報取扱規程】サンプル

3.4.5 認識

当社は、「3451PMS教育計画書(兼報告書)」に従い、少なくとも年1回、適宜に全従業者に業務内容に応じた教育を実施する。

2 全従業者に以下のa)〜d)を理解させるため「3456教育テキスト」を作成する。「3456教育テキスト」は直近の事故事例を含めるなど、毎年見直さなければならない。

a) 「3210個人情報保護方針」
b) PMSに適合することの重要性および利点
c) PMSに適合するための役割および責任
d) PMSに違反した際に予想される結果

3  教育にあたっては、下記の内容を含める。特に個人情報の取扱いに応じて「3313リスク分析表」で検討した必要な対策については、重点的に教育しなければならない。

a) 「3200個人情報保護方針」
b) 「3300個人情報取扱規程」(本規程)
c) 「3305個人番号関係事務規程」
d) 「3430安全管理規程」
e) 「3341-01個人情報保護体制別紙:3341-02PMSに関する責任と権限一覧表」
f) 「3312個人情報管理台帳」
g) 「3313リスク分析表」

4   全従業者に教育を実施したことを、「3451PMS教育計画書(兼報告書)」の受講者リストで管理する。

5   以下の状況が発生した場合には、随時「3451PMS教育計画書(兼報告書)」により、トップマネジメントの承認を得て教育を実施する。

a) 採用者に対する初回教育(業務に就く前に教育を実施する)
b) 事故等の緊急事態発生に関連する是正処置において、新たなルールを規定した場合
c) 施設の移転、設備の更新など、セキュリティルールの変更があった場合
d) 法令、国が定める指針その他の規範の改廃により、自社のPMSが見直された場合
e) 同業他社で発生した事故等から、自社の予防処置としてルールを見直した場合

6   受講者の理解度を確認するため「3457PMS確認チェックシート20XX年版」を策定し実施する。満点に満たない者には、解説を加えてフォローアップし、満点になるまで継続しなければならない。

7  定期教育および、随時の教育の実施結果は、「3451PMS教育計画書(兼報告書)」によってトップマネジメントに報告する。

8 1年間の教育の実施の結果についても、「3451PMS教育計画書(兼報告書)」を用いて有効性の評価を行い、次年度の教育への反映の提言を加えて、トップマネジメントに報告する。

9   教育の計画及び実施、結果の報告及びそのレビュー、計画の見直し並びにこれらに伴う記録(紙媒体、電子データ)は、PMS事務局で3年間保管する。

A.3.5 文書化した情報  (2006:3.5)
目的 文書化した情報を作成・維持するため

A.3.5 

文書化した情報の範囲

2006:3.5.1

組織は、次の個人情報保護マネジメントシステムの基本となる要素を書面で記述しなければならない。

a) 内部向け個人情報保護方針
b) 外部向け個人情報保護方針
c) 内部規程
d) 内部規程に定める手順上で使用する様式
e) 計画書
f) この規格が要求する記録及び組織が個人情報保護マネジメントシステムを実施する上で必要と判断した記録
附属書B

なし

【Pマーク審査対応のポイント】

  • 他のマネジメントシステムでは、組織の一部のみの適用が可能なため、内部向けと外部向けの個人情報保護方針を策定するが、Pマークは、組織全体で構築し、維持するものであるため、個人情報保護方針は、一つ(外部向け個人情報保護方針)のみであっても差し支えない。
  • 規程とは、取扱規程、安全管理規程などに加えて、バックアップ手順書などの業務手順書、役割権限表、セキュリティ区画表、文書管理台帳、記録台帳など、ルールが規定されている文書を含める。
  • 様式とは、個人情報管理台帳、リスク分析表、個人情報取得変更申請書、通知と同意書、入退館安全確認記録簿、委託先管理台帳、監査チェックリスト、是正処置報告書、マネジメントレビュー議事録など規定したとおりに記録させるための文書をいう。
  • 計画書とは、PMS年間計画書、PMS教育計画書、PMS監査計画書などをいう。
  • 記録とは、様式を用いて記入もしくは入力した書類もしくはデータをいう。記録には、日付、記録者、承認者等の記載が必要である。

 

【3300個人情報取扱規程】サンプル

3.5 個人情報保護マネジメント(PMS)文書

3.5.1 PMS文書の範囲

当社はPMSの基本となる次の要素を書面で記述し、「3510PMS文書体系」によって維持管理する。

a)b) 「3200個人情報保護方針」(内部・外部向け用途に統一した文書)
c) 内部規程 「3300個人情報保護取扱規程」(本規程)
「3305個人番号関係事務規程」
「3430安全管理規程」
上記の他、「3320法令・指針・規範集」「3371緊急時連絡網」「3341-01個人情報保護体制」「341-02PMSに関する責任と権限一覧表」「3371緊急時連絡網」「3432-012フロアマップ(セキュリティ区画)」「3510PMS文書体系」「3530PMS記録台帳」についても、内部規程に準じて取り扱う 
d) 様式 内部規程に定める手順上で使用する様式
e) 計画書 「3303PMS年間計画書(兼点検表)」
「3451PMS教育計画書(兼報告書)」
「3721PMS監査計画書(兼報告書)」
f) 記録 JIS Q 15001:2017規格が要求する記録
当社がPMSを実施するうえで必要と判断した記録

2 個人情報保護方針、内部規程は、個人情報保護管理者が策定し、トップマネジメントの承認を得る。

3 個人情報保護方針、内部規程には、制定年月日、改定年月日、トップマネジメント名を記載する。

4 様式は、PMSの運用において規程に従い適切に記録されるために、事務局もしくは担当部門が策定し個人情報保護管理者が承認する。

5 記録には、作成者、作成日、承認者、承認日付を明確にしなければならない。詳細手順は、「3430安全管理規程」5~7に定める。
 

A.3.5.2 

文書化した情報(記録を除く)
の管理

2006:3.5.2
組織は、この規格が要求する全ての文書化した情報(記録を除く。)を管理する手順を確立し、実施し、かつ、維持しなければならない。
文書化した情報(記録を除く。)の管理の手順には、次の事項が含まれなければならない。
a) 文書化した情報(記録を除く。)の発行及び改訂に関すること
b) 文書化した情報(記録を除く。)の改訂の内容と版数との関連付けを明確にすること
c) 必要な文書化した情報(記録を除く。)が必要なときに容易に参照できること

附属書B 3.5.2

文書化した情報(記録を除く)の管理とは、書面に記述したA.3.5.1のa)~f)を保存し、制定・改正の記録を残したうえで、常に最新の状態で維持しておくことである。文書化した情報のうち記録は、A.3.5.3に規定する管理策に従って管理する。また、A.3.5.1のd)では、内部規程に定める手順上で使用する様式も合わせて管理することが求められている。

文書化した情報(記録を除く)は、個人情報保護マネジメントシステムを構成する要素が互いにどのように関係しているか、及び特定部分の運用についての詳細な情報がどこに記述されているかを、十分に示せる程度にあればよい。文書化した情報(記録を除く)は、組織によって実施される他のシステムの文書化した情報(記録を除く)と統合してもよい。

当初は、個人情報保護マネジメントシステム以外の目的で作成した文書化した情報(記録を除く)を、個人情報保護マネジメントシステムの一部として使用してもよい。そのような使い方をする場合は、それらの文書化した情報(記録を除く)を個人情報保護マネジメントシステムの中で参照しておくことが望ましい。

なお、文書化した情報(記録を除く)の管理は、個人情報保護マネジメントシステムを確実に実施するための手段であって、目的ではない。手段と目的を混同しないよう留意することが望ましい。
【Pマーク審査対応のポイント】
  • 記録を除く文書とは、規程、様式、計画書で、PMSにおいては、PDCAのPにあたり、ルールとなる文書類である。
  • 文書の発行、改定は、従業者へ確実に周知され、常に最新版のみが参照されるようにしなければならない。
  • 他のマネジメントシステムで作成した文書を、PMS文書として位置付けてもよい。例えばISMSのリスクアセスメントに基づき作成した「セキュリティ規程」をPMSで使用することは可能である。ただし、ISMSを部門単位で取得した場合は、そのまま全社で適用することができない場合がある。PMS側でISMSの範囲外の部門におけるリスクアセスメントを実施し、ISMS側とも協議のうえ「セキュリティ規程」に追加するとよい。
  • 他のマネジメントシステム文書をPMSでも使用する場合は、「PMS文書一覧」に含めること。
  • 文書化した情報(記録を除く)は、必要最小限とする必要がある。文書の数が増えれば重複記述が増え、管理も複雑になる。

【3300個人情報取扱規程】サンプル

3.5.2 PMS文書管理(記録を除く)

PMS文書(記録を除く)については、次の管理手順に従う。

2 PMS文書の発行および改定を行ったときは、従業者にメールで通知しなければならない。

3 PMS文書の改定を行ったときは、改定内容と版数との関連付けを明確にして従業者に通知しなければならない。

4 PMS文書の原本は、全従業者が参照可能な¥共有ファイルサーバー¥PMSフォルダ¥に保管する。

5 旧版文書は、個人情報保護管理者およびPMS事務局のみがアクセスできるフォルダに保管する。

A.3.5.3

文書化した情報のうち記録の管理

2006:3.5.3

組織は個人情報保護マネジメントシステム及びこの規格の要求事項への適合を実証するために必要な記録として次の事項を含む記録を作成し、かつ、維持しなければならない。

a) 個人情報の特定に関する記録
b) 法令、国が定める指針及びその他の規範の特定に関する記録
c) 個人情報保護リスクの認識、分析及び対策に関する記録
d) 計画書
e) 利用目的の特定に関する記録
f) 保有個人データに関する開示等(利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止又は消去、第三者提供の停止)の請求等への対応記録
g) 教育などの実施記録
h) 苦情及び相談への対応記録
i) 運用の確認の記録
j) 内部監査報告書
k) 是正処置記録
l) マネジメントレビューの記録
組織は、記録の管理についての手順を確立し、実施し、かつ、維持しなければならない。

付属書B
3.5.3

この規格で必要とする文書化した情報のうち記録には、A.3.5.3のa)~l)のほか、内部規程に定める手順上で使用する様式[A.3.5.1d)]を用いた記録がある。

A.3.5.3g)は、A.3.4.5に基づき従業者全員に教育を実施したことの記録である。A.3.4.5のa)~d)の事項を従業者に理解させるに当たり、実施した事項の記録となる。よって、結果を報告する際には、単に教育実施の結果を報告するだけではなく、教育の有効性の確認を報告することが、A.3.5.3g)に適合する。
また、"教育の実施記録"には、緊急時対応についての教育訓練の記録なども含まれる。

A.3.5.3j)には、内部監査実施の状況のほか、問題点として把握した指摘事項と、その中で改善すべき事項とについて区別して示すことが含まれる。

文書化した情報のうち記録は紙媒体である必要はなく、組織内において運用しやすい合理的な方法で作成することが望ましい。A.3.5.3では組織は、必要な記録を特定し、保管、保護、保管期間及び廃棄についての手順を確立し、実施し、維持することが望ましい。記録自体も個人情報である可能性があるから、とりあえず何でも記録として残すという姿勢ではなく、その必要性を判断することが望ましい。また、文書化した情報のうち記録は、必要なときにすぐに検証できるように維持しておくことが望ましい。

【Pマーク審査対応のポイント】

  • 規格の、a)〜l)の記録は、Pマーク現地審査で確認対象となる。f)開示等の対応記録、h)苦情・相談対応記録は、事象が発生していなければ、無いと報告することになるが、手順を整備し説明できるようしておく必要がある。
  • Pマーク現地審査では、少なくとも直近の1年間の記録を確認する。審査の時期によっては、前年度の記録が確認対象となるため、記録は年度単位もしくはa)〜l)の単位でファイリングし、提示を求められたときに直ちに示せるようにしておくこと。
  • 記録は、必ずしも紙でなくてもよい。プロジェクターに投影して提示してもよい。ただし、直ちに示せるようインデックス化や目次化をしておくこと。
  • a)〜l)について「PMS記録台帳」等に保管期間を定めること。「個人情報管理台帳」にも保管期間を記載するが、a)〜l)のうち「個人情報管理台帳」に記載されるのは、f)開示等への対応記録、g)教育受講者記録、h)苦情及び相談への対応記録のみである。

【3300個人情報取扱規程】サンプル


3.5.3 PMS記録の管理

PMS記録については、規格への適合を実証するために必要な記録として、次の事項を含む「3530PMS記録台帳」を作成し、かつ維持する。

a) 個人情報の特定に関する記録
b) 法令、国が定める指針及びその他の規範の特定に関する記録
c) 個人情報保護リスクの認識,分析及び対策に関する記録
d) 計画書
e) 利用目的の特定に関する記録
f) 保有個人データに関する開示等の請求等への対応記録
g) 教育などの実施記録
h) 苦情及び相談への対応記録
i) 運用の確認の記録
j) 内部監査報告書
k) 是正処置の記録
l) マネジメントレビューの記録

2   「3530PMS記録台帳」には、記録が、必要な時に、必要な所で、入手可能かつ利用に適した状態で管理されるよう、保管期間、保管部門、保管方法を定める。

3  個人情報が記載された文書は、機密性の喪失、不適切な使用及び完全性の喪失からの保護のため、「3312個人情報管理台帳」に詳細な取扱いを定める。

4  具体的な保管方法および廃棄の詳細手順は、「3430安全管理規程」5~7に定める。
A.3.6 苦情及び相談への対応  (2006:3.6)
目的 苦情及び相談に対応するため

A.3.6

苦情及び相談への対応
2006:3.6 
法第35条
法第52条

組織は、個人情報の取扱い及び個人情報保護マネジメントシステムに関して、本人からの苦情及び相談を受け付けて、適切かつ迅速な対応を行う手順を確立し、かつ、維持しなければならない。

組織は、上記の目的を達成するために必要な体制の整備を行わなければならない。

付属書B
3.6

“必要な体制の整備”とは、例えば、常設の対応窓口の設置又は担当者を任命することなどをいう。ただし、個人情報保護管理者とは兼任をしても差し支えない。

必要な体制の整備にあたっては、日本工業規格JISQ10002(品質マネジメントー顧客満足ー組織における苦情対応のための指針)を参考にしてもよい。

【Pマーク審査対応のポイント】

  • 苦情・相談対応を、開示等の請求対応と同じ手順で対応している組織があるが、目的が異なるため、個別の手順とすることが望ましい。ただし、苦情・相談対応と開示対応を、同じ部門、同じ担当者とすることは差し支えない。苦情は、改善のための提言と受け止める姿勢が必要である。
  • 苦情は、「是正処置報告書」作成の対象であり、また、トップマネジメントへの報告が必要である。
  • 苦情・相談の場合は、本人確認は必須ではないことに留意する必要がある。
  • 電話やメール等で、問い合わせがあった時に、開示等の請求等であるのか、苦情・相談であるのか、判断に迷った場合のエスカレーションルールを定めておくことが望ましい。
  • 電話でのヒアリングは、慎重さと技術を要する。常に「苦情・相談対応記録」の様式を手許に準備して、可能な限り正確にメモを取り、判断に迷った時は「責任ある者から折り返し電話する」ことを告げていったん電話を切ることが必要な場合もある。
  • ホームページに公表する苦情・相談窓口として、電話番号、メールアドレス、住所を掲載すること。
  • Pマークを更新する組織で、認定個人情報保護団体に加入してる場合は、当該団体の苦情解決の申し出先を公表すること。

【3300個人情報取扱規程】サンプル


3.6 苦情及び相談への対応

当社は、個人情報の取扱い及びPMSに関して、本人からの苦情及び相談を受け付けて、適切かつ迅速な対応を行う手順を確立し、維持する。苦情・相談が寄せられた場合は、緊急事態発生に準じて取扱うこととし、必要な体制として苦情・相談窓口責任者を任命する

2  「3220個人情報の取扱いについて」に、苦情の申出先として、苦情・相談責任者の電話番号、メールアドレス、住所を掲載する。

3  プライバシーマーク適格性審査認定後は、「3220個人情報の取扱いについて」に、「認定個人情報保護団体」の名称および苦情の解決の申出先を明示する。

4  電話で苦情・相談を受け付けた者は、概要と電話番号をヒアリングして「3601苦情・相談報告書」に記入し、対応が長引く案件の場合は、"責任ある者から折り返しする"ことについて了解を得ていったん電話を切り、苦情・相談責任者に報告する。

5 苦情・相談責任者は、本人に電話連絡のうえ、苦情・相談の内容を「3601苦情・相談報告書」に追記して個人情報保護管理者に報告する。

6 個人情報保護管理者は、苦情・相談の内容を確認し、関係者に調査を依頼し、その結果および回答案を「3601苦情・相談報告書」を用いてトップマネジメントに報告し、承認を得たうえで、本人に回答する。ただし、個人情報保護管理者が、比較的軽微な苦情又は相談と判断した場合は、個人情報保護管理者の承認のみで対応することができる。

7 対応が終了後、すべての「3601苦情・相談報告書」はトップマネジメントに報告しなければならない。

8 個人情報保護管理者は、苦情および相談の内容をもとに、原則として「3801是正処置報告書」を策定し、真の発生原因を追究して改善策を講じなければならない。

9 苦情・相談の内容が緊急事態発生と判断した場合は、3.3.7の手順に従う。

 

3.7パフォーマンス評価