SAAJTOP 目次 1適用範囲〜 2計画〜 3資源〜 4実施〜 5直接書面取得〜 6提供〜 
7匿名加工情報 8個人情報に関する権利 9認識 10パフォーマンス評価〜 
「PMS要求事項【JIS Q15001:2017】と「個人情報取扱規程」管理策10(最終回)    
  特定非営利活動法人 日本システム監査人協会 個人情報保護監査研究会
https://www.saaj.or.jp/shibu/kojin.html
主査:斎藤由紀子

   ▲3.4.5 認識      3.7パフォーマンス評価〜 3.8  是正処置(最終回) 

旧JIS:2006の”点検”は、”パフォーマンス評価” となりました。3.7.1運用の確認において、” 不適合が確認された場合は、その是正処置を行わなければならない。”と、他の項目には無い記述があります。紛らわしい記述ですが、運用の確認だけが特別に是正処置を行うのではないことは明らかです。

監査は、”内部監査”となり、代表者の見直しは、”マネジメントレビュー”となりました。内容は旧JIS:2006とほぼ同じです。

是正処置及び予防処置は、”是正処置”となりました。”是正処置は、予防処置を含む” のが当然だということのようです。なおリスク分析、事故発生、苦情などPMSの運用で確認されたリスクや不適合は、直ちに是正処置を行い、また1年間のマネジメントレビューで発見された不適合についても是正処置を講じて、次年度の計画を策定するという流れとなります。
引用:日本規格協会「日本工業規格JIS Q15001:2017個人情報保護マネジメントシステム要求事項」
赤字:【2006年版JIS】から追加、変更となった規格
青字:PMS監査研究会のコメント
A.3.7 パフォーマンス評価  (2006:3.5)
目的 パフォーマンス評価を実施するため。

A.3.7.1

運用の確認


2006:3.7.1

組織は、個人情報保護マネジメントシステムが適切に運用されていることが組織の各部門及び階層において定期的に、及び適宜に確認されるための手順を確立し、実施し、かつ、維持しなければならない。

各部門及び各階層の管理者は、定期的に、及び適宜にマネジメントシステムが適切に運用されているかを確認し、不適合が確認された場合は、その是正処置を行わなければならない。

個人情報保護管理者は、トップマネジメントによる個人情報保護マネジメントシステムの見直しに資するため、定期的に、及び適宜にトップマネジメントにその状況を報告しなければならない。

付属書
B:3.4.5

A.3.7.1は、組織全体として実施する監査(A.3.7.2)と異なり、各部門及び各階層において行われるものである。

のマネジメントシステムの実施結果を受けて行うものではなく、日常業務において気付いた点(残留リスクが顕在化していないか、リスク対策が実施できているかなど)があればそれを是正及び予防していくものであるため、たとえ小規模な組織であっても、運用の確認(A.3.7.1)及び内部監査(A.3.7.2)を行うことが望ましい。

【Pマーク審査対応のポイント】

  • 運用の確認の目的は、講ずべき対策の実施確認のほか、「残留リスク」の顕在化の兆し、対策の陳腐化などの発見などです。
  • 運用の確認は、各部門の部門長もしくは指示を受けた担当者が実施します。貸出したモバイル機器の状況などは、従業者からメール報告を受けるなど、適宜工夫して実施します。
  • 運用の確認の頻度は、毎月点検を必須とするものと取扱う個人情報に応じて決めるものがあります。
    • 毎月点検:「最初と最終の入退室記録」「来客入室記録」「サーバー室入室記録」「アクセスログ」「Webサイトの改ざん点検」など
    • 頻度を決めて点検(ミーティング時など):「常駐先における、個人情報の取り扱いの変化」「貸与された入館証や鍵の保持チェック」
    • 抜き打ち点検:「許可されないソフトウエアの存在」「貸与された携帯電話のロック設定チェック」 など
  • 期の途中で不適合が確認された場合は、直ちに是正処置を実施する必要があります。
  • 「運用の確認」結果は、個人情報保護管理者が承認し、トップマネジメントに報告します。
  • 審査においては、少なくとも直近の1年間分の運用の確認の記録、及び「是正処置」の記録を確認します。

【3300個人情報取扱規程】サンプル

3.7 パフォーマンス評価

3.7.1 運用の確認

各部門及び階層においてPMS が適切に運用されていることを、定期的に、及び適宜に確認するために、各部門長は、「3303PMS年間計画書(兼点検表)」の自部門関連項目について点検し、個人情報保護管理者に報告する。

2  「3303PMS年間計画書(兼点検表)」には、リスク分析の結果講じるとした対策のうち、点検すると定めた対策を反映する。

3  運用の確認において不適合が発見された場合は、3.8(是正処置)の手順に従い是正処置を行う。

4  個人情報保護管理者は、運用の確認結果を、定期的に、及び適宜にトップマネジメントに報告すること。

A.3.7.2 

内部監査

2006:3.7.2

組織は、個人情報保護マネジメントシステムのこの規格への適合状況及び個人情報保護マネジメントシステムの運用状況を少なくとも年一回、適宜に監査しなければならない。

組織は、監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順を確立し、実施し、かつ、維持しなければならない。

個人情報保護監査責任者は、監査員に、自己の所属する部署の内部監査をさせてはならない。

附属書B
3.7.2

内部監査は、組織内部からの要員によって、又は組織のために働くように外部から選んだ者によって実施してもよい。その際、内部監査を実施する監査員には、力量があり、かつ客観的に行える立場にある者を当てることが望ましい。

小規模な事業者における個人情報保護監査責任者が監査員を兼ねる場合、監査対象となる部署と兼務してもよい。

運用状況の監査に当たっては、A.3.3.3によって講ずることとした対策を、監査項目に設定して実施することが望ましい。

“結果の報告”とは、組織のトップマネジメントに対する報告をいう。このため、結果の報告に対する改善の指示も組織のトップマネジメントから受けることが望ましい。改善の指示をトップマネジメントから受けられない場合は、トップマネジメントによって権限を与えられた者の指示を受けてもよい。

【Pマーク審査対応のポイント】

  • 規格への適合状況の監査(適合性監査と呼ぶ)は、規程、手順書等の文書を対象に、JIS Q15001:2017の付属書Aに照らして、文書化しているかどうかを監査する。
  • 運用状況の監査(運用監査と呼ぶ)は、規定に従って運用しているかどうかを、ヒアリング、記録の確認によって監査する。
  • 適合性監査と、運用監査をそれぞれ実施するための監査手順が文書化されていなければならない。
    • トップマネジメントによる個人情報保護監査責任者の任命、及び役割、権限、責任が規定されていること。
    • 監査計画書はトップマネジメントの承認を得ること。
    • 監査報告書をトップマネジメントに提出すること。
    • 監査員は、自己の所属する部署の内部監査をしてはならないこと。(小規模事業者を除く)
    • 適合性監査チェックリストが規定されていること。
    • 運用監査チェックリストが規定されていること。
  • 適合性監査は、規程類を改定した時に実施することが望ましい。
  • 運用監査は、適合性監査を実施し一定期間運用した後に実施することが望ましい。
  • 監査報告書の「写し」は、通常個人情報保護管理者に回付される。
  • 審査では、少なくとも直近の一年分の監査計画書、監査報告書、適合性監査チェックリスト、運用監査チェックリストを確認する。

【3300個人情報取扱規程】サンプル

3.7.2 内部監査
PMSにおいては、JIS規格との適合状況及びその運用状況について少なくとも年一回、適宜に監査を実施する。

3.7.2.1 監査計画
個人情報保護監査責任者は、監査の時期について「3303PMS年間計画書(兼点検表)」に定めた時期より1ヵ月以上前に、全社全部門を対象にした日程および、監査員を明確にして「3721PMS監査計画書(兼報告書)」を策定しトップマネジメントの承認を得なければならない。

2 JIS適合監査は、「3300個人情報取扱規程(本文書)」、「3305個人番号関係事務規程」「3430安全管理規程」および規定された関連様式を対象とし、運用監査よりも前の時期に行わなければならない。

3  「3723監査実施通知(電子メール文)」は、監査実施日の1カ月前までに被監査部門に通知しなければならない。

4 個人情報保護監査責任者は、「3303PMS年間計画書(兼点検表)」に定めた日程にかかわらず、トップマネジメントや個人情報保護管理者が必要と判断したときに臨時の監査を計画し、トップマネジメントの承認を得てこれを実施することができる。

5  個人情報保護監査責任者は、監査員を社内又は社外から選任することができる。社内から選任する場合は、監査員が所属する各部門長に対し、監査のための訓練および監査実施日程を明確にして、監査員が職務を離れることについて通知し、各部門長は特別な事情のない限りこれを了承する。

6 監査員を社外から選任する場合は、契約書に、監査方法、監査実施期間、監査報告書の様式と提出期限、記録の廃棄・消去、および守秘義務などの条項を定めなければならない。

7 監査員は監査の実施において、独立性と客観性を堅持し、誠実に監査を実施しなければならない。

8 監査員は、正当な理由なく監査の実施により知り得た秘密を漏らし、又は不当な目的に使用してはならない。

9 監査員は、自ら所属する部門を監査してはならない。

10 監査員は、前回の監査結果を参照し、観察事項について当年度の監査項目に含めなければならない。

11 個人情報保護管理者は、監査に伴う記録の保持に関する責任を持つ。監査の計画、監査報告書、チェックリスト等、監査に関連する記録(紙媒体、電子データ)は、PMS事務局で3年間保管する。

3.7.2.2 監査チェックリスト
監査では、以下の「監査チェックリスト」から選択して使用する。「監査チェックリスト」は複数使用することができる。

  目的 チェックリストの種類・説明

a)

適合性
監査
「3725a_JIS Q15001適合性監査チェックリスト」
JIS規格の変更、法令や規範の改定があった場合は、チェックリストを見直さなければならない。

b)

運用監査
(予備
調査)
「3726b_予備調査チェックリスト」
運用監査の実施予定の2週間前に、被監査部門に配布し、1週間前に回収する。これにより監査担当者、被監査部門ともに事前準備を行うことができる。
ただしこの予備調査は省略することができる。

c)

運用監査
(必須)
「3313リスク分析表(兼監査チェックリスト)」
毎年各部門で作成した「3313リスク分析表」を基に監査を実施する。
この監査は必須とする。

d)

運用監査 情況に
応じて
選択
「3726d_PMS体制の運用チェックリスト」
個人情報保護管理者および事務局に対する監査で用いる。

e)

「3726e_施設・設備の安全性監査チェックリスト」
施設ごとの管理部門に対する監査で用いる。

f)

「3726f_情報システム運用の安全性監査チェックリスト」
システム運用部門に対する監査で用いる。

g)

「3726g_情報システム開発の安全性監査チェックリスト」
個人情報を処理する情報システムに対する監査で用いる。
ただしこの監査は省略することができる。

h)

「3726h_部門コンプライアンス監査チェックリスト」
各部門が規程を遵守しているかどうかの監査で用いる。
ただしこの監査は省略することができる。

 

3.7.2.3 監査における評価
監査担当者は、ヒアリングや目視した事実に基づき、チェックリストに以下の評価を記入する。

  評価 記述 状況 是正処置
a) 適合 問題なし 不要
b) 観察事項 ○’ 直ちに改善され、再発はしないと評価できる状況 不要
c) 不適合 × 是正しなければ、本人の権利を侵害し、企業の存続に係わるリスクとなる状況 必要

2 チェックリストには、どのような事実によって評価したかを記載し、第三者が見てもわかるように記述すること。

3 個人番号関係事務部門の監査では、特定個人情報を閲覧してはならない。

 

3.7.2.4 監査報告

全社の監査が完了後、個人情報保護監査責任者は、結果のサマリーとして「3721監査計画書(兼報告書)」を作成し、各監査対象のチェックリストを添付してトップマネジメントに報告する。添付するチェックリストは手書きのままでよい。

A.3.7.3 

マネジメントレビュー

2006:3.9

トップマネジメントは、9.3に規定するマネジメントレビューを実施するために、少なくとも年一回、適宜に個人情報保護マネジメントシステムを見直さなければならない。
マネジメントレビューにおいては、次の事項を考慮しなければならない。

a) 監査及び個人情報保護マネジメントシステムの運用状況に関する報告
b) 苦情を含む外部からの意見
c) 前回までの見直しの結果に対するフォローアップ
d) 個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況
e) 社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化
f) 組織の事業領域の変化
g) 内外から寄せられた改善のための提案

附属書B 3.7.3

内部監査は社内の現状のルールを前提に、それが守られているかを確認するものであり、それに基づく改善も現状の枠内に止まるものである。A.3.7.3によるマネジメントレビューは、それに止まらず、外部環境も考慮した上で、現状そのものを根本的に見直すことがあり得る点で、内部監査による改善とは本質的に異なる。

常にA.3.7.3のa)~g)の事項をまとめて見直すという必要はない。見直しは、必要に応じて実施してもよい。

【Pマーク審査対応のポイント】
  • 「マネジメントレビュー」は、通常会議体で行われ、トップマネジメント、個人情報保護管理者、事務局、教育責任者、システム管理者など、PMS運用に関わるメンバーが参加する。
  • 「マネジメントレビューの記録」には、a)〜g)について、添付資料の形でインプットされる。添付資料は、既にトップマネジメントに報告済みの書類が多いはずである。
  • 「マネジメントレビューの記録」には、個人情報保護管理者が、a)〜g)について要約して報告する。
    • a)監査結果や運用の確認については、その是正状況について報告する。
    • b)苦情及び外部からの意見が無かった場合は、「無かった」ことを報告(インプット)する。
    • c)フォローアップは、前回のマネジメントレビューの是正処置について、1年間運用の結果を報告する。
    • d)法令・指針・規範の改正について、自社のPMSにどのように反映したかを報告する。
    • e)社会状況、国民の認識、技術の進歩に関し、自社のPMSにどのように反映したかを報告する。
    • f)組織の事業領域の変化に対し、自社のPMSにどのように反映したかを報告する。
    • g)内外から寄せられた改善のための提案には、Pマーク審査も含まれる。
  • 「マネジメントレビュー」においては、個人情報保護管理者から、次の1年間のPMS運用に向けての年間計画の立案がなされる。これは、事前にトップマネジメントに提出されることも可能である。
  • 「マネジメントレビュー」において、個人情報保護管理者から提出された次年度の計画立案に対し、トップマネジメントから、是正処置が指示される。事前に提出された年間計画に対して、是正処置を指示した結果の公表となる場合もある。
  • 「マネジメントレビューの記録」は、組織のPMSの歴史を示すものであるため、「是正処置報告書」を含めて、永続的に保管されなければならない。そのため、「PMS記録一覧」に記載する保管期間も「永久保管」としてよい。
  • 審査では、少なくとも直近の一年分の「マネジメントレビューの記録」「是正処置報告書」を確認する。

【3300個人情報取扱規程】サンプル

3.7.3 マネジメントレビュー
トップマネジメントによる見直しは、「3303PMS年間計画書(兼点検表)」に定めた時期に実施する。

2   「3731PMSマネジメントレビュー議事録」を用い、次の事項を考慮して行う。

  インプット項目
a) 監査およびPMSの運用状況に関する報告
b) 苦情を含む外部からの意見
c) 前回までの見直しの結果に対するフォローアップ
d) 個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況
e) 社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化
f) 会社の事業領域の変化
g) 内外から寄せられた改善のための提案

3   トップマネジメントは、PMSの継続的改善の機会及びPMSのあらゆる変更の必要性に関する決定を行う。

4   「3731PMSマネジメントレビュー議事録」は年度順に整理して永続的に保管する。

A.3.8 是正処置 (2006:3.8)

目的 是正処置を実施するため。 

A.3.8

是正処置

2006:3.8

組織は、不適合に対する是正処置確実に実施するための責任及び権限を定める手順を確立し、実施し、かつ、維持しなければならない。その手順には、次の事項を含めなければならない。

a) 不適合の内容を確認する。
b) 不適合の原因を特定し、是正処置立案する。
c) 期限を定め、立案された処置を実施する。
d) 実施された是正処置結果を記録する。
e) 実施された是正処置有効性をレビューする。

付属書B
3.8

是正処置は、パフォーマンス評価の結果、緊急事態の発生及び外部機関の指摘などを通じて、不適合が明らかになった場合に行う。

不適合の原因が特定されなければ、根本的な解決にはならず、単なるもぐらたたきの改善で終わってしまい、再発を防げない。 A.3.8b)では、再発防止のための是正処置を立案し、A.3.1.1に基づく承認を受け、実施することが望ましい。

是正処置を確実に実施させるために期限を区切ることは有効であるが、不適合の内容によっては、長期にわたってもよい。不適合の内容に相応した期限の設定が望ましい。

【Pマーク審査対応のポイント】

  • 是正処置は、PMS運用のすべての段階において、不適合を確認した時に直ちに行われる処置である。
  • 是正処置の手順は、具体的には以下の通りである。
    • a)トップマネジメントが、不適合の内容を、確認する。
    • b)不適合を発生させた部門管理者が、不適合の原因を特定し、是正処置を立案する(処置管理用までの期間を含めて立案することが望ましい)。
         立案は、個人情報保護管理者の確認を経由して、トップマネジメントが承認する。
    • c)不適合を発生させた部門管理者は、期限を定め、立案された処置を実施する。
    • d)不適合を発生させた部門管理者は、実施された是正処置の結果を記録し、期限までに、個人情報保護管理者を経由してトップマネジメントに報告する。
    • e)一定期間経過後、不適合を発生させた部門管理者は、不適合の再発の有無について、個人情報保護管理者を経由してトップマネジメントに報告し、実施された是正処置の有効性をレビューする。
  • 組織の規模によっては、是正処置立案承認権限等を個人情報保護管理者に権限委譲することも可能である。ただしその場合は、「3341-02PMSに関する責任と権限一覧表」等に明確に規定しなければならない。また、最終的にすべての「是正処置報告書」は、トップマネジメントに報告されなければならない。
  • 「是正処置の記録」は、組織のPMSの継続的改善の歴史を示すものであるため、永続的に保管されなければならない。そのため「PMS記録一覧」に記載する保管期間も「永久保管」としてよい。
  • 審査では、少なくとも直近の一年分の「是正処置報告書」を確認する。

【3300個人情報取扱規程】サンプル


3.8 是正処置
運用の確認 内部監査 緊急事態の発生 外部機関による指摘、苦情、リスクの認識・分析および対策その他のPMSの運用において認識したすべての不適合、および不適合に発展すると思われる要因を発見した時には、「3801是正処置報告書」を用いて是正処置を実施する。

2  不適合を発見した者は誰でも、「3801是正処置報告書」を個人情報保護管理者に提出することができる。

3  「3801是正防処置報告書」に以下を記述し、a)~e)の各段階でトップマネジメントの確認、承認を得なければならない。ただし、個人情報保護管理者が軽微な不適合であると判断した時には、トップマネジメントに代わってa)~c)の確認・承認を行うことができる。

  手順 原則
a) 不適合の内容を確認する。 トップマネジメントに報告する。
b) 不適合の原因を特定し、是正処置を立案する。 他部門での発生の可能性についても調査し、原因を除去するための是正処置案を立案して、トップマネジメントの承認を得る。
c) 期限を定め、立案した処置を実施する。 実施者は不適合発生部門となる。
d) 実施した是正処置の結果を記録する。  是正処置案運用の1ヶ月後、3ヶ月後など、不適合が再発していないかどうか確認し、トップマネジメントに報告する。
e) 実施した是正処置の有効性をレビューする。

 

4   すべての「3801是正処置報告書」は、最終的にトップマネジメントに報告され、PMSが継続的に改善されなければならない。

5   「3801是正処置報告書」は、年度順に整理して永続的に保管する。

▼完了