株式会社Runway labo.(ランウェイラボ)

【2024年10月改訂】Pマーク改訂における、構築・運用指針の項目解説!

2024年10月にプライバシーマーク制度が改訂となり、10月まで約3か月となりました。

準備が順調に進んでいる企業も、これから徐々に取り掛かっていく企業様も、改訂版の構築・運用指針についての理解・把握はどのくらい進んでいますか?

今回は、改訂版の構築・運用指針についての具体的な実施ポイントや変更点などについて解説していきます。

目次

J.1 組織の状況
管理策のステータス
J.1.1 組織及びその状況の理解
<留意事項>
「個人情報保護マネジメントシステムに影響を与えるような課題の把握」とは、個人情報の取扱いにかんする法令、国が定める指針その他の規範、個人情報保護マネジメントシステムの確立、実施、維持及び継続的改善に必要な資源(人員・組織基盤・資金)、セキュリティ対策等の観点から、現状のみならず、将来実施するであろう事業を踏まえて洗い出すことを求めている。
下線付きテキスト

概要
事業の実施状況を踏まえ、適切なPMSの構築・運用に影響を与える可能性のある外部及び内部の課題を特定することを求めるもの。

実施ポイント
「J.1.4個人情報保護マネジメントシステムの適用範囲の決定」「J.3.1.2リスク及び機会に対処する活動」「J.6.3マネジメントレビュー」等を実施する時に必要となる考え方。

課題の特定は、PMSに影響を与える可能性のある課題の中から、事業者にとって重要なものが漏れないように網羅的に行われていればよい。
例:【外部の課題】・関連法制度の改正による影響(対応不可能な場合、関連事業の撤廃など)
  【内部の課題】・必要な資源を確保
        ・経営統合によるPMSの構築・運用方法の見直しなど
管理策のステータス
J.1.2 利害関係のニーズ及び期待の理解
<留意事項>
※利害関係者とは、本人及び個人情報保護マネジメントシステムに関連する個人、事業者及び団体(委託元(及び委託元の顧客)、委託先)、等を指す。
※利害関係者の要求事項には、法令、官公庁等のガイドライン、事業者の所属団体による自主規制、商慣習に基づき尊守が求められる事項、取引先等との間の契約上の義務等を含めてもよい。
下線付きテキスト

概要
事業者は、PMSに関連する利害関係者と、その利害関係者の個人情報保護に関連する要求事項を把握することを求めるもの。

実施ポイント
「J.1.3法令、国が定める指針その他の規範」、「J.3.1.1個人情報の特定」「J.9.4委託先の監督」等にも関連する重要な観点。
個人情報保護に関するリスクの分析にあたっては、本項の要求事項を考慮する必要がある。
管理策のステータス
J.1.3 法令、国が定める指針その他の規範
<留意事項>
参照とは、特定した法令等の内容を事業者が遵守することを含む。
下線付きテキスト

概要
個人情報等を取り扱うにあたって、関連する法令等を遵守するために関連する法令等を把握することを求めるもの。

実施ポイント
・事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範(「法令等」)を特定し参照する手順を内部規定とすること。
・特定した法令等の遵守が求められるため、個人情報を取り扱う業務に従事する従業者が法令等の内容を正しく把握し、理解し、法令等から外れた個人情報の取扱いを行わないようにすること。

例:【個人情報保護法】【個人情報保護法ガイドライン】【雇用や事業に関する法令】【認定個人情報保護団体の指針】などの改廃状況に注意し、常に最新版を維持・参照する手順を定め、必要に応じて法令等に定める事項をPMSに反映する。
管理策のステータス
J.1.4 個人情報保護マネジメントシステムの適用範囲の決定
下線付きテキスト

概要
PMSの構築・運用にあたっての適用範囲を認識し、その旨を文書化し、利用可能な状態(社内のイントラネットで公開するなど)にすることを求めるもの。

実施ポイント
・事業者は、自らの事業の用に供している全ての個人情報の取扱いをPMS適用範囲として定めること。
・文書化の書式/形式は問わない。→「個人情報保護方針」、「内部規定」など
・上記以外にも適切な取扱いが必要と判断される場合は、PMSの適用範囲になる場合がある。
例:冠婚葬祭における死者の情報
管理策のステータス
J.1.5 個人情報保護マネジメントシステム
下線付きテキスト

概要
構築・運用指針に基づき、PMSを確立し、実施し、維持し、かつ継続的に改善することを求めるもの。

実施ポイント
・この項目は、構築・運用指針で求めるPMSの要求事項を一言でまとめたもの。
・マネジメントサイクルとしては、事業者が適切と判断した手法を用いればよい。
→例:【PDCAサイクル(Plan→Do→Check→Act)】や
   【OODAサイクル(Observe→Orient→Decide→Act)】など
・継続的改善については、本項のほか、J.7.2継続的改善などにおいても定められているが、考え方や実施内容などが異なるものではない。
J.2 リーダーシップ
管理策のステータス
J.2.1 リーダーシップ及びコミットメント
<留意事項>
※トップマネジメントとは、最高位で事業者を指揮し、管理する個人又は人々の集まりことで、事業者内で権限を委譲し、資源を提供する力を持つ者である。典型的には、代表者や事業者内において権限を有する取締役以上の役職を指す。
※個人情報保護目的とは、個人情報保護方針を達成するための目的ないし目標として、全社的若しくは部門毎等に定めるものである。
※利害関係者とは、J.1.2(利害関係者のニーズ及び期待の理解)で特定したものである。
※従業者とは、個人情報取扱事業者の組織内にあって、直接若しくは間接に、組織の指揮監督を受けて組織の業務に従事している者などをいう。これには、雇用関係にある従業者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員など)だけでなく、雇用関係にない従業者(取締役、執行役、理事、監査役、監事、派遣社員など)も含まれる。
下線付きテキスト

概要
・トップマネジメントが従業者を統率する(リーダーシップをとる)とともに、利害関係者に対して責任をもって関与する(コミットメントする)ことを求めるもの。

実施ポイント
・PMSの構築・運用において、トップマネジメントが適切な目標を設定し、その実現体制を構築し、運用を通じて顕在化された課題や障害を解決する行動を取ることが重要。
・a)~h)の事項についてトップマネジメントが自ら実行する。もしくはその体制を敷く(トップマネジメントが適切な権限移譲を行って実行させる)こと。
管理策のステータス
J.2.2 個人情報保護方針
下線付きテキスト

概要
・事業者における個人情報保護に関する取り組みについて、トップマネジメントが方針を文書化し、事業者内に周知するとともに、一般の人にも入手可能な措置を講じることを求めるもの。
→入手可能な措置の例:【Webサイトへの公開】Webサイトのトップページに画面上で目に付きやすい場所にリンクを表示する等

実施ポイント
・個人情報保護方針の策定に際しては、何のために個人情報保護を行うのか等(J.2.2 No1 a)~h)の事項)を考慮した上で、個人情報保護の理念の明らかにすること。・個人情報保護方針には、個人情報保護の理念を実現するための具体的な方針等(J.2.2 No1 a)~h)の事項)を定めること。・個人情報保護方針は、従業者に認識・理解させること。
管理策のステータス
J.2.3.1 組織の役割、責任及び権限
下線付きテキスト

概要
・PMSの構築・運用にあたり、必要な役割、責任及び権限について規定するとともに、トップマネジメントが従業者へ割り当て(必要な体制を整備して)、役割と割り当てた担当者っを従業者へ周知することを求めるもの。

実施ポイント
・各々がその役割を理解し、適切に行動させるとともに、運用の成果をトップマネジメントへの報告させることが主旨。
→このため、トップマネジメントは、必要となる役割と役割ごとに何をしなければならないか等を明確にし責任及び権限を割り当てる際には、本人にその旨を認識させるように教育することが重要である。
・責任及び権限を、内部規定として文書化すること。

【整理すべき規定類】
・事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
・体制図など
管理策のステータス
J.2.3.2 個人情報保護管理者と個人情報保護監査責任者
<留意事項>
個人情報保護管理者と個人情報保護監査責任者とは異なる者であること。
下線付きテキスト

概要
・トップマネジメントが個人情報保護管理者と個人情報保護監査責任者を、事業者内部に属する者から指名し、必要な責任及び権限を割り当て、業務を行わせることを求めるもの。

実施ポイント
・個人情報保護管理者は、事業者における個人情報保護の一貫した取り組みを浸透させるために全体を統括する責任者としての重要なやくわりを担う。
・個人情報保護管理者は、トップマネジメントにPMSの運用状況を報告すること。
・個人情報保護監査責任者は、PMSがきちんと機能しているかを確認する責任者としての重要な役割を担う。
・個人情報保護監査責任者は監査を指揮し、監査報告書を作成し、トップマネジメントに報告すること。
管理策のステータス
J.2.4 管理目的及び管理策(一般)
<留意事項>
※管理策とは、本指針に定める事項のうち、個人情報保護リスク対策に関する事項及び事業者が必要であると決定した事項が対象となり、リスクを修正するためのあらゆるプロセス、方針、実務、その他の処置を含む。
下線付きテキスト

概要
・PMSに適用する管理策について、トップマネジメント又はトップマネジメントによって権限が与えられた者によって、事業者があらかじめ定めた手順に従って承認することを求めるもの。

実施ポイント
承認の手段と各手段において承認を行う者をあらかじめ定めておくこと。承認を行う者は、トップマネジメント又はトップマネジメントによってあらかじめ権限を与えられた者でなければならない。

【整理すべき規定類】個人情報保護管理者等による承認を得たことが確認できる記録。
J.3 計画
管理策のステータス
J.3.1.1 個人情報の特定
<留意事項>
※本項の目的は、事業の用に供する全ての個人情報を特定し、その取扱いじょうきょうを把握することにある。台帳の整備はそのための手段であって、目的ではない。
下線付きテキスト

概要
事業の用に供している全ての個人情報を漏れなく特定できる手順を規定し、維持することを求めるもの。

実施ポイント
・個人情報の取扱いがあるところには、個人情報保護リスクが潜在的にあるため、その要因となる事業者の取り扱う個人情報の全てを明らかにすることが必要となる。・個人情報管理台帳を整備すること。・個人情報管理台帳に定められた必要事項(J.3.3.1 No.3の事項)を記載すること。・個人情報管理台帳は少なくとも年一回適宜に確認し、最新の状態で維持すること。

【整備すべき規定類】
・個人情報を特定する手順に関する規定
・個人情報の特定に関する記録
管理策のステータス
【構築・運用指針改定による変更点】
■項目No.3の修正(「管理する個人情報の件数(複数でも可)」を追記)
→個人情報保護リスクに応じた対策を判断する目安として把握を求めるもの。

■留意事項の修正(「自らの事業の用に供している仮名加工情報等も…」)
→自らの事業の用に供している仮名加工情報等もPMSの適用範囲に含まれることを明文化したもの
管理策のステータス
J.3.1.2 リスク及び機会に対処する活動
下線付きテキスト

概要
PMSの計画策定にあたって、J.1.1組織及びその状況の理解及びJ.1.2利害関係者のニーズ及び期待の理解を考慮し、個人情報保護リスクアセスメントと個人情報保護リスク対応をおこなうことを求めるもの。

実施ポイント
・本項では、個人情報保護リスクアセスメント及び個人情報保護リスク対応に必要となる考え方、具体的な計画に含むべき事項を定めている。・PMSの計画策定にあたっては、実現すべき事項(J.3.1.2 No.1a~c)の事項)を踏まえて個人情報保護リスクアセスメントと個人情報保護リスク対応を行うこと。・PMSに影響を与えるような外部及び内部の課題と利害関係者との関係を考慮して、個人情報保護リスクアセスメントと個人情報保護リスク対応を行うこと。・PMSの計画策定にあたっては、個人情報保護リスクへの対応策に関する事項(J.3.1.2 No.2d~f)の事項)を含むこと。
管理策のステータス
J.3.1.3 個人情報保護リスクアセスメント
<留意事項>
※個人情報保護リスクとは、個人情報の取扱いの各局面(個人情報の取得・入力・移送・送信、利用・加工、保管・バックアップ・消去・廃棄等に至る個人情報の取扱いの一連の流れ)において、適正な保護措置を講じない場合に想定されるリスクを指す。
※リスク所有者とは、当該リスクに関して対応を行う責任及び権限を有する者を指す。
下線付きテキスト

概要
個人情報保護リスクアセスメントの実施及びその際の手続きを定め、実施することを求めるもの。

実施ポイント
・個人情報保護リスクアセスメントは、リスク基準の決定、リスクの特定、リスクの分析・評価の手順に従うこと。
・事業者は、個人情報保護リスクアセスメントの結果に基づき、J.3.1.4個人情報保護リスク対応によりリスク対応を行うこと。
・手順及び実施した内容について、少なくとも年一回及び必要に応じて適宜に見直すこと。
・手順を内部規定として文書化すること。
・洗い出したリスクが顕在化した場合に生じる損害の観点(J.3.1.3 No.1 a)の1)~4)の事項)からリスク基準を定めること。
・事業ごとに個人情報の取扱いを特定し、個人情報の取扱い局面ごとにリスクとリスクについて責任及び権限を有する者を特定すること。
・個人情報保護リスクの分析・評価においては、特定したリスクとリスク基準を比較し、リスク対応の優先順位を明らかにすること。
法令等の違反のリスクについては優先順位はなく、全て対応する必要があることに注意すること。

【整理すべき規定類】
・個人情報保護リスクアセスメント及びリスク対応の手順に関する規定
・個人情報保護リスクアセスメント及び個人情報保護リスク対応の手順に関する記録
・内部規定
・監視、測定、分析及び評価の記録
管理策のステータス
【構築・運用指針改定による変更点】
■項目No.1 a)の修正(「1)本人の権利利益の侵害」の追記)
→JISの表現に合わせたもので、要求する内容に変更はない

■項目No.1 a)の修正(「4)…滅失又はき損等」→「4)…滅失・毀損、改ざん、正確性の未確保…」)
→プライバシーマーク制度における事故等の定義に合わせたもので、要求する内容に変更はない

■項目No.3の追加(「文書化した情報を利用可能な状態にすること」)
→JISの表現に合わせたもので、要求する内容に変更はない

■留意事項の修正(「※個人情報保護リスクは、例えば以下の観点…」の追記)→
→JISの表現に合わせたもので、要求する内容に変更はない
管理策のステータス
J.3.1.4 個人情報保護リスク対応
<留意事項>
※残留リスクとは、リスク対応後に残っているリスクのことであり、受容するリスク(放置してよいリスク)ではなく、現時点では困難であるが、短期的若しくは中長期的に対応していくリスクのことである。なお、個人情報の不適切な取扱い(不正な取得・利用など)に関するリスクについては、法令遵守の観点から、全て対応する必要があるため、残留リスクとすることは認められない。
下線付きテキスト

概要
J.3.1.3個人情報保護リスクアセスメントで実施したリスクアセスメントの結果を踏まえた、個人情報保護リスク対応を求めるもの。

実施ポイント
・個人情報保護リスクへの対応手順を内部規定として定め実施するとともに、手順及び実施した内容については、適宜に見直すこと。
・個人情報保護リスクアセスメントの結果を考慮して、必要な対応策を策定すること。具体的な対応手順や対応方法は、事業者の規模、事業内容、個人情報保護リスクの大きさなどを踏まえて定め、実施すること。
・策定された対応策に基づき、個人情報保護リスクへの対応計画を策定し、実施すること。計画には、対策の具体的な内容、責任者、対応スケジュール等、適切な対応を行うために必要な事項が定められていることが望ましい。
・個人情報保護リスクへの対応計画及び実施した内容について、原則としてトップマネジメントの承認を得ること。
・残留リスクの把握・管理についても、原則としてトップマネジメントの承認を得ること。
・法令等の違反のリスクについては全て対応する必要がある。

【整備すべき規定類】
・個人情報保護リスクアセスメント及びリスク対応の手順に関する規定
・個人情報保護リスクアセスメント及び個人情報保護リスク対応の手順に関する記録
・内部規定
・監視、測定、分析及び評価の記録
管理策のステータス
【構築・運用指針改定による変更点】
■項目No.2の修正(「保持すること。」→「利用可能な状態にすること」)
→JISの表現に合わせたもので、要求する内容に変更はない

■留意事項の修正(「※残留リスクの管理とは…」の追記)
→JISの表現に合わせたもので、要求する内容に変更はない
管理策のステータス
J.3.2 個人情報保護目的及びそれを達成するための計画策定
<留意事項>
※個人情報保護目的を達成するために必要となる計画は、J.3.3(計画策定)において、J.2.2(個人情報保護方針)、及びJ.3.1.3(個人情報保護リスクアセスメント)の結果を踏まえて、本項のa)~e)を含めて策定すること。
下線付きテキスト

概要
個人情報保護目的を認識し、その達成について計画することを求めるもの。

実施ポイント
・個人情報保護目的の確立は、J.2.1リーダーシップ及びコミットメントで実施。
・計画策定は、J.3.3計画策定で実施。
・計画策定にあたっては、J.2.2個人情報保護方針及びJ.3.1.3個人情報保護リスクアセスメントの結果を踏まえ、実施事項、必要な資源、責任者、達成期限、結果の評価方法(J.3.2a)~e)の事項)を含めて策定すること。
・個人情報保護目的の達成状況の確認は、J.6.1監視、測定、分析及び評価、J.6.2内部監査、J.6.3マネジメントレビューなどで実施。
管理策のステータス
J.3.3 計画策定
下線付きテキスト

概要
PMSを実施するため、少なくとも年一回及び必要に応じて適宜に教育実施計画と内部監査実施計画を含めて、必要な計画の策定を求めるもの。

実施ポイント
・教育実施計画と内部監査実施計画を含め、PMSの実施に必要な計画を策定すること。
→上記以外の計画の例:安全管理措置の計画、委託先の監督の計画、マネジメントレビューの実施等の計画
・計画策定は少なくとも年一回及び必要に応じて適宜に行い、文書化すること。
まとめ

今回はPマークの改訂に伴い、構築・運用指針の項目について解説しました。
それぞれの項目で求められている対応について確認をし、スムーズな申請・更新ができるように準備をしていきましょう。

株式会社Runway labo.では、あらゆるITのお悩み・認証資格取得のサポートを行っております。
セキュリティツールなどの導入支援なども行っておりますので、セキュリティ面について不安を抱えている企業様や担当者様がいらっしゃいましたら、ぜひお気軽にご相談ください。

→お問い合わせはこちらから

画像とテキストのスタイル

この記事を書いたのは、株式会社Runway-labo.で情シスのアシスタントをしているAnya。趣味はピラティスで身体を動かした後に餃子とハイボール片手に昼飲み。そしてコナン君をこよなく愛する。

はじめての方へ

私たちRunway labo.についてのご紹介と、代表プロフィールを掲載しています。

MORE

サービス紹介

Runway labo.で提供している各種サービスやご利用のながれをご紹介します。

MORE

会社概要

弊社の会社概要はこちらよりご確認ください。

MORE

無料相談受付中
まずは気軽にご相談ください

ご不明な点やご不安に思っていること、ぜひ気軽にご相談ください。
お客さまの状況に応じて、プランをご提案させていただきます。

ウェブでのお問い合わせ

下記のフォームよりご連絡ください。