6か月で構築する                           
「個人情報保護マネジメントシステム実施ハンドブック」 第3版<R版>
FAQ(よくあるご質問) 
公開:2025年4月15日
改定:2025年8月19日
PMS実施ハンドブックV3のご紹介:https://www.saaj.or.jp/shibu/Kojin/kojin.html
項番 Q A
序章
7		 P

|




 ハンドブックに付属するひな型は、84ファイルありますが、新規申請時に最低限必要なファイルはどのファイルでしょうか。

(2025/8/19掲載) NeW! 		Pマーク付与適格性審査申請書類 (新規審査において提出する指定書式)一式】には、 必須書類は記載されていません。Pマークの審査では、「手順が文書化されているか」を見ますが その方法は、事業者に任されています。

ハンドブックのカスタマイズについて、作業効率の面で推奨する方法は、【PMS文書体系】 (P53)について、すべて規定することです。
  1. 「R01000個人情報取扱規程」
    「R01050個人番号関係事務規程」
    「RA1000安全管理規程」   
    について、会社名、組織名、役職、制定日等を、自社にあわせて改定する。
    内容については、できるかぎりそのまま残す。
  2. 業務フロー(P77)は、以下のいずれかを選択することも可能だが、個人情報の取扱い状況にあわせるため、3種類とも規定して差し支えない。
    1〜2年運用して、不要な様式を削除するとよい。
    • R06103業務フロー(標準形式)
    • R06104業務フロー(フローチャート形式)
    • R06105業務フロー(簡易形式)
  3. 委託先管理台帳(P181) は、委託する個人情報にあわせて、4種類とも規定する。 1〜2年運用して、不要な様式を削除することは可能。
    • RA1202委託先調査票  (A:シンプル)
    • RA1203委託先調査票  (B:詳細)
    • RA1204委託先調査票  (C:個人番号)
    • RA1205委託先調査票  (D:自己評価)
  4. 監査チェックリスト(P120)のうち、必須は以下の先頭2つであるが、それ以外の監査チェックリストについても、リスクが顕在化していないか緻密に監査することができるのですべて規定する。 1〜2年運用して、使う必要が無いと判断した様式を削除することは可能。
    •  「R09202適合性監査CL」
    •  「R06221リスク分析表(兼監査CL)」
    • 上記以外
      • 「R09203予備調査CL」
      • 「R09204PMS体制の運用監査CL」
      • 「R09205施設設備の安全性CL」
      • 「R09206情報システム運用の安全性CL」
      • 「R09207情報システム開発の安全性監査CL」
      • 「R09208部門コンプライアンス監査CL」
3.12




個人情報保護監査責任者に、“監査役は監査責任者を兼ねることはできない。”と記載がありますが、根拠はありますか?

(2025/7/16掲載)

JIS Q 15001:2023では、3(用語の定義) 3.3.9に、個人情報保護監査責任者の定義が記載されていますが、左記の記述はありません。ただし、4.1(組織及びその状況の理解)a)で、法令、国が定める指針その他の規範を特定参照するよう記述されています。

PMS実施ハンドブック第3版では、以下を根拠として、“監査役は監査責任者を兼ねることはできない。”としています。

会社法第335条2項(監査役の資格等)
“監査役は、株式会社若しくはその子会社の取締役若しくは支配人その他の使用人 又は当該子会社の会計参与若しくは執行役を兼ねることができない。”

7.5


構築運用指針の、J.4.5.5(文書化した情報のうち、記録の管理)は、
どこに記述されていますか。

(2025/4/15掲載)

構築運用指針の、J.4.5.1からJ.4.5.2の内容は JIS Q 15001:2023では、ISMSなど、他のマネジメントシステムとの併用を考慮して整理されました。

PMS実施ハンドブック第3版では、以下を規定しています。

  • 「R01000個人情報取扱規程」
    • R.7.5(文書化した情報)  
    • R.7.5.2(文書化した情報の作成および更新)  
    • R.7.5.3(文書化した情報の管理)
  •  「R07512PMS記録台帳」
  •  「RA1051個人情報取得返却廃棄消去管理表」 
A.19 〜
A.25

構築運用指針の、J.10.1(個人情報に関する権利)は、 どこに記述されていますか。

(2025/4/15掲載)

JIS Q 15001:2023では、用語の定義(3.3.4:個人情報保護リスク)を筆頭に、随所に、”本人の権利”、を記述し、規格全体の理念としています。

  • JIS Q 15001:2023では、保有個人データに関する開示について、A.19〜A.25に整理されました。
  • A.19(保有個人データに関する事項の公表等)に、構築運用指針のJ.10.1(個人情報に関する権利)と同様に、「開示等に遅滞なく応じること」を記述しています。

PMSハンドブック第3版でも、JIS Q 15001:2023に沿って、随所に”本人の権利”を記述し、「R01000個人情報取扱規程」R.A.19(保有個人データ等に関する事項の公表等)に、「開示等の請求等を受けた場合に、遅滞なくこれに応じる」ことを規定しています。


構築運用指針の、J.10.4(保有個人データの利用目的の通知)は、どこに記述されていますか。

(2025/4/15掲載)

法32条(保有個人データに関する事項の公表等)第2項に、以下の記述があります。

  • 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。

そのため、JIS Q 15001:2023では、A.19(保有個人データに関する事項の公表等)c)項に、以下のとおり記述しています。

  • c) 組織は、本人から、当該本人が識別される保有個人データについて、利用目的の通知を求められた場合には、法令に基づき、遅滞なくこれに応じなければならない。

PMSハンドブック第3版では、「R01000個人情報取扱規程 」R.A.19 保有個人データ等に関する事項の公表等 6項に、以下を規定しています。

  • 6  本人から、当該本人が識別される保有個人データ等について、利用目的の通知を求められた場合、R.A.24(開示等の請求等に応じる手続)の手順によって、遅滞なくこれに応じる。