【全5回】にわたって解説!
2024年10月にプライバシーマーク制度が改訂となり、10月まで約3か月となりました。
準備が順調に進んでいる企業も、これから徐々に取り掛かっていく企業様も、改訂版の構築・運用指針についての理解・把握はどのくらい進んでいますか?
今回からは、以下のような流れで全5回にわたって、改訂版の構築・運用指針についての具体的な実施ポイントや変更点などについて解説していきます。
・Vol1:J.1~J.3
・Vol2:J.4~7
・Vol3:J.8~J.8.7
・Vol4:J.8.8~J.8.10
・Vol5:J.9~J.11
目次
- J.1.1 組織及びその状況の理解
- J.1.2 利害関係のニーズ及び期待の理解
- J.1.3 法令、国が定める指針その他の規範
- J.1.4 個人情報保護マネジメントシステムの適用範囲の決定
- J.1.5 個人情報保護マネジメントシステム
- J.2.1 リーダーシップ及びコミットメント
- J.2.2 個人情報保護方針
- J.2.3.1 組織の役割、責任及び権限
- J.2.3.2 個人情報保護管理者と個人情報保護監査責任者
- J.2.4 管理目的及び管理策(一般)
- J.3.1.1 個人情報の特定
- J.3.1.2 リスク及び機会に対処する活動
- J.3.1.3 個人情報保護リスクアセスメント
- J.3.1.4 個人情報保護リスク対応
- J.3.2 個人情報保護目的及びそれを達成するための計画策定
- J.3.3 計画策定
- まとめ

「個人情報保護マネジメントシステムに影響を与えるような課題の把握」とは、個人情報の取扱いにかんする法令、国が定める指針その他の規範、個人情報保護マネジメントシステムの確立、実施、維持及び継続的改善に必要な資源(人員・組織基盤・資金)、セキュリティ対策等の観点から、現状のみならず、将来実施するであろう事業を踏まえて洗い出すことを求めている。
概要
事業の実施状況を踏まえ、適切なPMSの構築・運用に影響を与える可能性のある外部及び内部の課題を特定することを求めるもの。
課題の特定は、PMSに影響を与える可能性のある課題の中から、事業者にとって重要なものが漏れないように網羅的に行われていればよい。
例:【外部の課題】・関連法制度の改正による影響(対応不可能な場合、関連事業の撤廃など)
【内部の課題】・必要な資源を確保
・経営統合によるPMSの構築・運用方法の見直しなど

※利害関係者とは、本人及び個人情報保護マネジメントシステムに関連する個人、事業者及び団体(委託元(及び委託元の顧客)、委託先)、等を指す。
※利害関係者の要求事項には、法令、官公庁等のガイドライン、事業者の所属団体による自主規制、商慣習に基づき尊守が求められる事項、取引先等との間の契約上の義務等を含めてもよい。
概要
事業者は、PMSに関連する利害関係者と、その利害関係者の個人情報保護に関連する要求事項を把握することを求めるもの。
個人情報保護に関するリスクの分析にあたっては、本項の要求事項を考慮する必要がある。

参照とは、特定した法令等の内容を事業者が遵守することを含む。
概要
個人情報等を取り扱うにあたって、関連する法令等を遵守するために関連する法令等を把握することを求めるもの。
・特定した法令等の遵守が求められるため、個人情報を取り扱う業務に従事する従業者が法令等の内容を正しく把握し、理解し、法令等から外れた個人情報の取扱いを行わないようにすること。
例:【個人情報保護法】【個人情報保護法ガイドライン】【雇用や事業に関する法令】【認定個人情報保護団体の指針】などの改廃状況に注意し、常に最新版を維持・参照する手順を定め、必要に応じて法令等に定める事項をPMSに反映する。

概要
PMSの構築・運用にあたっての適用範囲を認識し、その旨を文書化し、利用可能な状態(社内のイントラネットで公開するなど)にすることを求めるもの。
・文書化の書式/形式は問わない。→「個人情報保護方針」、「内部規定」など
・上記以外にも適切な取扱いが必要と判断される場合は、PMSの適用範囲になる場合がある。
例:冠婚葬祭における死者の情報

概要
構築・運用指針に基づき、PMSを確立し、実施し、維持し、かつ継続的に改善することを求めるもの。
・マネジメントサイクルとしては、事業者が適切と判断した手法を用いればよい。
→例:【PDCAサイクル(Plan→Do→Check→Act)】や
【OODAサイクル(Observe→Orient→Decide→Act)】など
・継続的改善については、本項のほか、J.7.2継続的改善などにおいても定められているが、考え方や実施内容などが異なるものではない。

※トップマネジメントとは、最高位で事業者を指揮し、管理する個人又は人々の集まりことで、事業者内で権限を委譲し、資源を提供する力を持つ者である。典型的には、代表者や事業者内において権限を有する取締役以上の役職を指す。
※個人情報保護目的とは、個人情報保護方針を達成するための目的ないし目標として、全社的若しくは部門毎等に定めるものである。
※利害関係者とは、J.1.2(利害関係者のニーズ及び期待の理解)で特定したものである。
※従業者とは、個人情報取扱事業者の組織内にあって、直接若しくは間接に、組織の指揮監督を受けて組織の業務に従事している者などをいう。これには、雇用関係にある従業者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員など)だけでなく、雇用関係にない従業者(取締役、執行役、理事、監査役、監事、派遣社員など)も含まれる。
概要
・トップマネジメントが従業者を統率する(リーダーシップをとる)とともに、利害関係者に対して責任をもって関与する(コミットメントする)ことを求めるもの。
・a)~h)の事項についてトップマネジメントが自ら実行する。もしくはその体制を敷く(トップマネジメントが適切な権限移譲を行って実行させる)こと。

概要
・事業者における個人情報保護に関する取り組みについて、トップマネジメントが方針を文書化し、事業者内に周知するとともに、一般の人にも入手可能な措置を講じることを求めるもの。
→入手可能な措置の例:【Webサイトへの公開】Webサイトのトップページに画面上で目に付きやすい場所にリンクを表示する等

概要
・PMSの構築・運用にあたり、必要な役割、責任及び権限について規定するとともに、トップマネジメントが従業者へ割り当て(必要な体制を整備して)、役割と割り当てた担当者っを従業者へ周知することを求めるもの。
→このため、トップマネジメントは、必要となる役割と役割ごとに何をしなければならないか等を明確にし責任及び権限を割り当てる際には、本人にその旨を認識させるように教育することが重要である。
・責任及び権限を、内部規定として文書化すること。
【整理すべき規定類】
・事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
・体制図など

個人情報保護管理者と個人情報保護監査責任者とは異なる者であること。
概要
・トップマネジメントが個人情報保護管理者と個人情報保護監査責任者を、事業者内部に属する者から指名し、必要な責任及び権限を割り当て、業務を行わせることを求めるもの。
・個人情報保護管理者は、トップマネジメントにPMSの運用状況を報告すること。
・個人情報保護監査責任者は、PMSがきちんと機能しているかを確認する責任者としての重要な役割を担う。
・個人情報保護監査責任者は監査を指揮し、監査報告書を作成し、トップマネジメントに報告すること。

※管理策とは、本指針に定める事項のうち、個人情報保護リスク対策に関する事項及び事業者が必要であると決定した事項が対象となり、リスクを修正するためのあらゆるプロセス、方針、実務、その他の処置を含む。
概要
・PMSに適用する管理策について、トップマネジメント又はトップマネジメントによって権限が与えられた者によって、事業者があらかじめ定めた手順に従って承認することを求めるもの。
【整理すべき規定類】個人情報保護管理者等による承認を得たことが確認できる記録。

※本項の目的は、事業の用に供する全ての個人情報を特定し、その取扱いじょうきょうを把握することにある。台帳の整備はそのための手段であって、目的ではない。
概要
事業の用に供している全ての個人情報を漏れなく特定できる手順を規定し、維持することを求めるもの。
【整備すべき規定類】
・個人情報を特定する手順に関する規定
・個人情報の特定に関する記録


■項目No.3の修正(「管理する個人情報の件数(複数でも可)」を追記)
→個人情報保護リスクに応じた対策を判断する目安として把握を求めるもの。
■留意事項の修正(「自らの事業の用に供している仮名加工情報等も…」)
→自らの事業の用に供している仮名加工情報等もPMSの適用範囲に含まれることを明文化したもの

概要
PMSの計画策定にあたって、J.1.1組織及びその状況の理解及びJ.1.2利害関係者のニーズ及び期待の理解を考慮し、個人情報保護リスクアセスメントと個人情報保護リスク対応をおこなうことを求めるもの。

※個人情報保護リスクとは、個人情報の取扱いの各局面(個人情報の取得・入力・移送・送信、利用・加工、保管・バックアップ・消去・廃棄等に至る個人情報の取扱いの一連の流れ)において、適正な保護措置を講じない場合に想定されるリスクを指す。
※リスク所有者とは、当該リスクに関して対応を行う責任及び権限を有する者を指す。
概要
個人情報保護リスクアセスメントの実施及びその際の手続きを定め、実施することを求めるもの。
・事業者は、個人情報保護リスクアセスメントの結果に基づき、J.3.1.4個人情報保護リスク対応によりリスク対応を行うこと。
・手順及び実施した内容について、少なくとも年一回及び必要に応じて適宜に見直すこと。
・手順を内部規定として文書化すること。
・洗い出したリスクが顕在化した場合に生じる損害の観点(J.3.1.3 No.1 a)の1)~4)の事項)からリスク基準を定めること。
・事業ごとに個人情報の取扱いを特定し、個人情報の取扱い局面ごとにリスクとリスクについて責任及び権限を有する者を特定すること。
・個人情報保護リスクの分析・評価においては、特定したリスクとリスク基準を比較し、リスク対応の優先順位を明らかにすること。
・法令等の違反のリスクについては優先順位はなく、全て対応する必要があることに注意すること。
【整理すべき規定類】
・個人情報保護リスクアセスメント及びリスク対応の手順に関する規定
・個人情報保護リスクアセスメント及び個人情報保護リスク対応の手順に関する記録
・内部規定
・監視、測定、分析及び評価の記録
■項目No.1 a)の修正(「1)本人の権利利益の侵害」の追記)
→JISの表現に合わせたもので、要求する内容に変更はない
■項目No.1 a)の修正(「4)…滅失又はき損等」→「4)…滅失・毀損、改ざん、正確性の未確保…」)
→プライバシーマーク制度における事故等の定義に合わせたもので、要求する内容に変更はない
■項目No.3の追加(「文書化した情報を利用可能な状態にすること」)
→JISの表現に合わせたもので、要求する内容に変更はない
■留意事項の修正(「※個人情報保護リスクは、例えば以下の観点…」の追記)→
→JISの表現に合わせたもので、要求する内容に変更はない

※残留リスクとは、リスク対応後に残っているリスクのことであり、受容するリスク(放置してよいリスク)ではなく、現時点では困難であるが、短期的若しくは中長期的に対応していくリスクのことである。なお、個人情報の不適切な取扱い(不正な取得・利用など)に関するリスクについては、法令遵守の観点から、全て対応する必要があるため、残留リスクとすることは認められない。
概要
J.3.1.3個人情報保護リスクアセスメントで実施したリスクアセスメントの結果を踏まえた、個人情報保護リスク対応を求めるもの。
・個人情報保護リスクアセスメントの結果を考慮して、必要な対応策を策定すること。具体的な対応手順や対応方法は、事業者の規模、事業内容、個人情報保護リスクの大きさなどを踏まえて定め、実施すること。
・策定された対応策に基づき、個人情報保護リスクへの対応計画を策定し、実施すること。計画には、対策の具体的な内容、責任者、対応スケジュール等、適切な対応を行うために必要な事項が定められていることが望ましい。
・個人情報保護リスクへの対応計画及び実施した内容について、原則としてトップマネジメントの承認を得ること。
・残留リスクの把握・管理についても、原則としてトップマネジメントの承認を得ること。
・法令等の違反のリスクについては全て対応する必要がある。
【整備すべき規定類】
・個人情報保護リスクアセスメント及びリスク対応の手順に関する規定
・個人情報保護リスクアセスメント及び個人情報保護リスク対応の手順に関する記録
・内部規定
・監視、測定、分析及び評価の記録
■項目No.2の修正(「保持すること。」→「利用可能な状態にすること」)
→JISの表現に合わせたもので、要求する内容に変更はない
■留意事項の修正(「※残留リスクの管理とは…」の追記)
→JISの表現に合わせたもので、要求する内容に変更はない

※個人情報保護目的を達成するために必要となる計画は、J.3.3(計画策定)において、J.2.2(個人情報保護方針)、及びJ.3.1.3(個人情報保護リスクアセスメント)の結果を踏まえて、本項のa)~e)を含めて策定すること。
概要
個人情報保護目的を認識し、その達成について計画することを求めるもの。
・計画策定は、J.3.3計画策定で実施。
・計画策定にあたっては、J.2.2個人情報保護方針及びJ.3.1.3個人情報保護リスクアセスメントの結果を踏まえ、実施事項、必要な資源、責任者、達成期限、結果の評価方法(J.3.2a)~e)の事項)を含めて策定すること。
・個人情報保護目的の達成状況の確認は、J.6.1監視、測定、分析及び評価、J.6.2内部監査、J.6.3マネジメントレビューなどで実施。

概要
PMSを実施するため、少なくとも年一回及び必要に応じて適宜に教育実施計画と内部監査実施計画を含めて、必要な計画の策定を求めるもの。
→上記以外の計画の例:安全管理措置の計画、委託先の監督の計画、マネジメントレビューの実施等の計画
・計画策定は少なくとも年一回及び必要に応じて適宜に行い、文書化すること。
今回はPマークの改訂に伴い、【J.1~J.3】の構築・運用指針の項目について解説しました。
それぞれの項目で求められている対応について確認をし、スムーズな申請・更新ができるように準備をしていきましょう。
次回は、【J.4~J.7】の項目解説をしますので、ぜひご覧ください。
株式会社Runway labo.では、あらゆるITのお悩み・認証資格取得のサポートを行っております。
セキュリティツールなどの導入支援なども行っておりますので、セキュリティ面について不安を抱えている企業様や担当者様がいらっしゃいましたら、ぜひお気軽にご相談ください。
→お問い合わせはこちらから

この記事を書いたのは、株式会社Runway-labo.で情シスのアシスタントをしているAnya。趣味はピラティスで身体を動かした後に餃子とハイボール片手に昼飲み。そしてコナン君をこよなく愛する。