6か月で構築する                           
「個人情報保護マネジメントシステム実施ハンドブック」 第3版<R版>
FAQ(よくあるご質問) 
公開:2025年4月15日
改定:2025年12月23日
PMS実施ハンドブックV3のご紹介:https://www.saaj.or.jp/shibu/Kojin/kojin.html
項番 Q A
序章
7		 P

|




 ハンドブックに付属するひな型は、84ファイルありますが、新規申請時に最低限必要なファイルはどのファイルでしょうか。

(2025/8/19掲載) 		 Pマーク付与適格性審査申請書類 (新規審査において提出する指定書式)一式】には、 必須書類は記載されていません。Pマークの審査では、「手順が文書化されているか」を見ますが その方法は、事業者に任されています。

ハンドブックのカスタマイズについて、作業効率の面で推奨する方法は、【PMS文書体系】 (P53)について、すべて規定することです。
  1. 「R01000個人情報取扱規程」
    「R01050個人番号関係事務規程」
    「RA1000安全管理規程」   
    について、会社名、組織名、役職、制定日等を、自社にあわせて改定する。
    内容については、できるかぎりそのまま残す。
  2. 業務フロー(P77)は、以下のいずれかを選択することも可能だが、個人情報の取扱い状況にあわせるため、3種類とも規定して差し支えない。
    1〜2年運用して、不要な様式を削除するとよい。
    • R06103業務フロー(標準形式)
    • R06104業務フロー(フローチャート形式)
    • R06105業務フロー(簡易形式)
  3. 委託先管理台帳(P181) は、委託する個人情報にあわせて、4種類とも規定する。 1〜2年運用して、不要な様式を削除することは可能。
    • RA1202委託先調査票  (A:シンプル)
    • RA1203委託先調査票  (B:詳細)
    • RA1204委託先調査票  (C:個人番号)
    • RA1205委託先調査票  (D:自己評価)
  4. 監査チェックリスト(P120)のうち、必須は以下の先頭2つであるが、それ以外の監査チェックリストについても、リスクが顕在化していないか緻密に監査することができるのですべて規定する。 1〜2年運用して、使う必要が無いと判断した様式を削除することは可能。
    •  「R09202適合性監査CL」
    •  「R06221リスク分析表(兼監査CL)」
    • 上記以外
      • 「R09203予備調査CL」
      • 「R09204PMS体制の運用監査CL」
      • 「R09205施設設備の安全性CL」
      • 「R09206情報システム運用の安全性CL」
      • 「R09207情報システム開発の安全性監査CL」
      • 「R09208部門コンプライアンス監査CL」
3.12




個人情報保護監査責任者に、“監査役は監査責任者を兼ねることはできない。”と記載がありますが、根拠はありますか?

(2025/7/16掲載)

JIS Q 15001:2023では、3(用語の定義) 3.3.9に、個人情報保護監査責任者の定義が記載されていますが、左記の記述はありません。ただし、4.1(組織及びその状況の理解)a)で、法令、国が定める指針その他の規範を特定参照するよう記述されています。

PMS実施ハンドブック第3版では、以下を根拠として、“監査役は監査責任者を兼ねることはできない。”としています。

会社法第335条2項(監査役の資格等)
“監査役は、株式会社若しくはその子会社の取締役若しくは支配人その他の使用人 又は当該子会社の会計参与若しくは執行役を兼ねることができない。”

4.1 法令

「R04100法令指針規範集」のサンプルには、交付日が記載されていますが、施行日が記載されていないのは何故ですか?

(2025/12/19掲載)NEW!

事業者にとっては、「施行日までに準備をする」意味から公布日が重要と考え、 「R04100法令指針規範集」の「最終改正日」は、公布日を記載しています。

また、制定日・改正日は一つですが、施行日はまちまちのため、紙面の都合から公布日のみを記載しています。

しかしながら、最近の法令検索画面では、公布日を掲載しなくなり、 公布日を知ることは大変困難になりました。規範レベルでは官報にも記載されていないため、資料に記載の改正月を記載するようにしています。

「R04100法令指針規範集」はサンプルとお考えいただき、事業者独自でのご調査をお願いします。

6.3

6.4


「R01000個人情報取扱規程」
には、
6.3(個人情報保護目的及びそれを達成するための計画策定)
6.4 (変更の計画策定)
がありませんが、何故ですか?

(2025/12/19掲載)NEW!

「R01000個人情報取扱規程」は、JIS Q 15001:2023 の項番の順に記述していますが、重複の記述を避けるため、内容を整理しています。

「R01000個人情報取扱規程」

  • R.6 計画策定 2に、規格の6.3のa)〜i)を規定しているため、重複となる6.3は省略しています。
  • R.6 計画策定 5に、計画の見直しを規定しているため、重複となる6.4は省略しています。
7.5


構築運用指針の、J.4.5.5(文書化した情報のうち、記録の管理)は、
どこに記述されていますか。

(2025/4/15掲載)

構築運用指針の、J.4.5.1からJ.4.5.2の内容は JIS Q 15001:2023では、ISMSなど、他のマネジメントシステムとの併用を考慮して整理されました。

PMS実施ハンドブック第3版では、以下を規定しています。

  • 「R01000個人情報取扱規程」
    • R.7.5(文書化した情報)  
    • R.7.5.2(文書化した情報の作成および更新)  
    • R.7.5.3(文書化した情報の管理)
  •  「R07512PMS記録台帳」
  •  「RA1051個人情報取得返却廃棄消去管理表」 

8.2

8.3








「R01000個人情報取扱規程」
には、
8.2(個人情報保護リスクアセスメント)
8.3(個人情報保護リスク対応)
がありませんが、何故ですか?

(2025/12/19掲載)NEW!

 

「R01000個人情報取扱規程」は、JIS Q 15001:2023 の項番の順に記述していますが、重複の記述を避けるため、内容を整理しています。

「R01000個人情報取扱規程」

  • R.6.2 (リスク及び機会への取組)に、規格の8.2の内容を規定しているため、重複となる8.2、及び8.3は省略しています。

10.2








「R01000個人情報取扱規程」 10.2(不適合及び是正処置)b)には、その不適合が再発しないように又は他のところで発生しないようにするため、その不適合の原因を除去するための処置を検討する。

とありますが、事故発生の時の手順と重複しませんか?

(2025/12/23掲載)NEW!

 

「不適合が発生」とは、「事故が発生の時」だけではありません。
事故が発生する前に不適合を発見したら、是正をする必要があります。

「R01000個人情報取扱規程」 10.2(不適合及び是正処置)には、以下の通り規定しています。

  • 是正処置は、PMS運用のすべての段階において不適合を確認した時に直ちに行われる処置です。

「R10201是正処置報告書」には、以下の項目を記載しています。

  • 運用の確認
  • 内部監査
  • 緊急事態の発生
  • 外部機関による指摘
  • 苦情
  • リスクの認識、分析及び対策
  • その他の不適合

JIS Q 15001:2006までは、 「是正及び予防措置」とされていましたが、 JIS Q 15001:2017からは、 「是正処置」となりました。
不適合に該当する場合に限定して 「是正処置」を講じるのではなく、マネジメントシステムの要求事項そのものがリスクに対する「予防処置」を講じるものであると解説されています。
A.19 〜
A.25

構築運用指針の、J.10.1(個人情報に関する権利)は、 どこに記述されていますか。

(2025/4/15掲載)

JIS Q 15001:2023では、用語の定義(3.3.4:個人情報保護リスク)を筆頭に、随所に、”本人の権利”、を記述し、規格全体の理念としています。

  • JIS Q 15001:2023では、保有個人データに関する開示について、A.19〜A.25に整理されました。
  • A.19(保有個人データに関する事項の公表等)に、構築運用指針のJ.10.1(個人情報に関する権利)と同様に、「開示等に遅滞なく応じること」を記述しています。

PMSハンドブック第3版でも、JIS Q 15001:2023に沿って、随所に”本人の権利”を記述し、「R01000個人情報取扱規程」R.A.19(保有個人データ等に関する事項の公表等)に、「開示等の請求等を受けた場合に、遅滞なくこれに応じる」ことを規定しています。


構築運用指針の、J.10.4(保有個人データの利用目的の通知)は、どこに記述されていますか。

(2025/4/15掲載)

法32条(保有個人データに関する事項の公表等)第2項に、以下の記述があります。

  • 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。

そのため、JIS Q 15001:2023では、A.19(保有個人データに関する事項の公表等)c)項に、以下のとおり記述しています。

  • c) 組織は、本人から、当該本人が識別される保有個人データについて、利用目的の通知を求められた場合には、法令に基づき、遅滞なくこれに応じなければならない。

PMSハンドブック第3版では、「R01000個人情報取扱規程 」R.A.19 保有個人データ等に関する事項の公表等 6項に、以下を規定しています。

  • 6  本人から、当該本人が識別される保有個人データ等について、利用目的の通知を求められた場合、R.A.24(開示等の請求等に応じる手続)の手順によって、遅滞なくこれに応じる。
A.20

顧客のデータをスプレッドシートで管理していた場合、開示対象になりますか。

(2025/12/19掲載)NEW!

個人情報は、本人から「お預かりするもの」という認識が基本のため、スプレッドシートについても、原則は「開示」です。

ただし、以下の場合は、例外的に開示しなくても良いとされています。 (法律33条)

  • a)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  • b)当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
  • c)法令に違反する場合

バックアップなど、暗号化されていて、簡単に復号化することができない状態のデータは、b)に該当して、非開示とできる可能性があります。
ただし、開示に応じられない理由を、開示請求者に説明する必要があります。

理由なく非開示とした場合、個人情報保護委員会に「苦情」が持ち込まれて
調査対象となる場合もありますので、ご注意をお願いします。