「個人情報保護法」「マイナンバー法」「プライバシーマーク制度」 実務に関わる「個人情報」の取り扱いについて

情報通信技術の発展や事業活動のグローバル化等の急速な環境変化等を踏まえ、令和2年6月に「改正個人情報保護法」が公布、令和4年4月1日より全面施行されました。このサイトでは、個人情報・マイナンバー(個人番号)の取扱いや事業者が守るべきルール、会社の信用に繋がる認定制度「プライバシーマーク」の取得方法などを説明しています。

個人情報保護の管理体制・運用が適切な事業者を認証
プライバシーマークの取得について

プライバシーマーク制度は、事業者が個人情報の取扱いを適切に行う体制等を整備していることを評価し、その証として“プライバシーマーク”の使用を認める制度で、事業者にとっては法律への適合性に加え、自主的により高い保護レベルの個人情報保護マネジメントシステム(PMS)を確立、運用していることをアピールするツールとして有効活用できます。
これから取得を計画している企業に向け、個人情報保護マネジメントシステムの仕組みや、申請に必要な規程・様式等を提供しています。

プライバシーマーク制度の概要

プライバシーマーク制度とは、一般財団法人日本情報経済社会推進協会(JIPDEC)が、審査・認証する制度です。
プライバシーマークは、日本産業規格(JIS)が定めた「個人情報保護マネジメントシステムの要求事項(JISQ15001:2017)」に適合した個人情報保護マネジメントシステムを構築し、実施・運用することで、個人情報に対する取り組みが適切な事業者であるという認証とプライバシーマーク使用を認めるものです。

プライバシーマーク

取得の単位
プライバシーマークは、個人情報の取得から利用、保管、廃棄など個人情報が企業内で安全に管理されていることを認定されるものですので、原則として法人単位となっています。
有効期間
プライバシーマークは、2年ごとに更新するように義務付けられています。
また、内部監査を行うことが更新の要件になっています。「計画を立て実行し、見直しを行い改善する」という繰り返しにより、個人情報保護に対する企業内活動の形骸化を防ぎ継続的な活動とするためです。
2年間の有効期間満了を迎えるプライバシーマーク取得事業会社等は、有効期間の満了前、8ヶ月前の日から4ヶ月前の日までに更新手続きの申請を行わなければなりません。 (例)有効期間が2009年12月4日から2011年12月3日の場合、更新申請期間は、2011年4月4日から2011年8月3日までとなります。 有効期間と更新申請期間

プライバシーマーク制度のスキーム

プライバシーマーク付与機関(JIPDEC)または指定審査機関と事業者及び消費者等の関係性は、このような図式で表されます。

1. 付与機関(JIPDEC)に申請する事業会社等の場合

付与機関(JIPDEC)に申請する事業会社等の場合

2. 指定審査機関に申請する事業会社の場合

指定審査機関に申請する事業会社の場合

3. プライバシーマーク取得後の苦情等のスキーム

プライバシーマーク取得後の苦情等のスキーム

申請から利用開始までプライバシーマーク計画から付与機関等への申請まで約6ヶ月程度見込まれています。
その後、申請をしてから審査を経て付与適格決定をもらうまでの期間は、審査機関によっても異なりますが、数ヶ月から6ヶ月程度かかるようです。

FAQ(よくある質問)はこちら

関連する最新テンプレートは、こちらからダウンロードできます。

テンプレート一覧はこちら

Stage準備

会社として個人情報保護方針を策定して、Pマーク取得のためのプロジェクトチームを立ち上げます。

STEP 01:個人情報保護方針を定める

会社の代表者(社長等)は、個人情報の収集、利用、提供等に関する保護方針を定めなければなりません。

個人情報保護方針規定のポイント
① 個人情報保護に取り組む会社の姿勢及び基本的な考え方を明確にする
② 個人情報保護方針は、以下の事項を含んだ内容とすること
  1. a. 事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること
    (目的外利用を行わないこと、及びそのための措置を講じること)
  2. b. 個人情報に関する法令、国が定める指針その他の規範の遵守に関すること
  3. c. 個人情報の漏えい、滅失または毀損の防止及び是正に関すること
  4. d. 苦情及び相談への対応に関すること
  5. e. 個人情報保護マネジメントシステムの継続的改善に関すること
  6. f. 代表者の氏名
  7. g. 制定年月日及び最終改正年月日
  8. h. 個人情報保護方針の内容についての問合せ先
個人情報保護方針
【個人情報保護方針作成例】

STEP 02:取得のためのプロジェクトチームを作る

プライバシーマークの取得は全社活動となりますので、代表者は、全社レベルでの指示が出せる人をプロジェクトリーダーに任命する必要があります。さらに、プロジェクトチームのメンバーには、個人情報の保有状況も含め下記の部門に所属する部課長クラスのスタッフを含めることで、運用・実施がスムーズに展開されると考えられます。

プロジェクトメンバーに含めるべき部門
個人情報を多数保有する部門
従業員情報を保有する総務部門
法律・法令の側面から法務部門
会社のセキュリティシステムという側面から情報システム部門

STEP 03:スケジュールの作成

プロジェクトチームは、作業スケジュールを立案し、関係各部門等へ周知するとともに、協力を要請しておくことが大切です。

FAQ(よくある質問)はこちら

関連する最新テンプレートは、こちらからダウンロードできます。

テンプレート一覧はこちら

Stage構築

全従業員を対象に、個人情報保護法並びにプライバシーマーク取得の意義についての教育を実施します。会社が保有する個人情報の現状把握を行うとともに、個人情報保護のための各種規程書類やマニュアル等を作成します。

STEP 04:個人情報保護方針の周知、個人情報の洗い出し

【個人情報保護方針の周知について】

プロジェクトチームは、会社の代表者が定めた個人情報保護方針について、会社の役員はもとより全従業員に周知を徹底しなければなりません。

ポイント
個人情報を保護することの重要性、個人情報が漏えい等した場合のリスク等を認識させることが重要
直接個人情報を取り扱わない場合でも、会社内で個人情報に接する可能性があるため、役員や全従業員に周知し、会社の基本方針を十分理解させておく必要がある
【個人情報の洗い出しについて】
① 個人情報の特定
事業に係るすべての個人情報を特定するため、会社の全部門を対象に調査を行い、各部門単位で個人情報一覧を作成します。
② 個人情報の保有・取り扱い状況の調査
全部門を対象に、個人情報の保有並びに取扱状況の詳細調査を実施します。
③ 業務フローの作成
個人情報の取扱業務フローを作成します。

部門別の個人情報特定調査の実施

以下のような項目を設定して調査を行うことにより、個人情報の収集から廃棄までの管理状態が把握可能となります。

【項目例】

  • 個人情報の内容(※個人情報種別一覧記載のとおり)
  • 個人情報の保管形態(紙媒体またはデータ)
  • 個人情報量
  • 個人情報収集手段・経路(紙媒体、Web入力、電話、他社からの提供)
  • 個人情報の管理状況(保管場所、管理責任者等)
  • 個人情報の利用状況(社内他部門や他社へ提供や委託等の流出の有無)
  • 個人情報の廃棄状況等
【個人情報種別一覧】
種別 内容
機微 人種、病歴、賞罰(犯罪歴等)
信用・金銭 給与、負債、パスポート、健康保険証番号、クレジットカード番号等個人の信用情報
特性 性別、身長、体重等個人の特性に係る情報
身上 個人の氏名、住所、家族構成、学歴、個人のメールアドレス等
会社 勤務先、役職、会社のメールアドレス等
その他 名刺、PC内に保存されているメールアドレス、携帯電話に保存されているアドレス帳等

また、会社での個人情報の取り扱いに必要な個人情報に関する法令、指針、規範の有無について十分確認しておきましょう。
会社の個人情報の取り扱いは、当該事業に関連する法令や国が定める指針等に規定がある場合には、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に優先して適用されますので注意が必要です。

【個人情報保護に関する主要な法令指針等 参考リンク】
個人情報保護法令
(所轄官庁/個人情報保護委員会)
【法律】個人情報の保護に関する法律
【政令】個人情報の保護に関する法律施行令
【基本方針】個人情報の保護に関する基本方針 個人情報保護委員会のサイトへ
プライバシーマークについて
制度について
マーク使用について
プライバシーマーク付与適格性審査基準、プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針
情報セキュリティについて
情報セキュリティ政策(経済産業省)
ガイドライン
・個人情報の保護に関する法律についてのガイドライン(通則編)
・個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)
・個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)
・個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)

STEP 05:個人情報のリスク把握・分析・対策

STEP04で洗い出した個人情報について、その個人情報が、自社で取得したときから廃棄されるまでを明確にし、それぞれの局面毎に想定されるリスクを洗い出し、その分析及び対策を検討する必要があります。

【個人情報取扱の流れと想定されるリスク例】
個人情報取扱の流れ リスク
取得・入力 紛失、破壊、盗難、改ざん、入力ミス
移送・送信 移送時の盗難、破壊、業者と契約上の問題、不正アクセス
利用・加工 移送時の盗難、紛失、破壊、盗難、改ざん、入力ミス、不正アクセス、不正利用、目的外利用
バックアップ・保管 紛失、破壊、盗難、改ざん、不正アクセス、ウイルス感染
消去・廃棄 処理不足、再利用
【個人情報取扱の流れと情報形態、想定リスク及びその対策例】
情報形態 リスク 対策
保管 紛失、盗難 鍵付ロッカーやキャビネットに保管する
貸出及び返却について台帳管理する
システム情報 紛失、盗難 アクセス制御による利用者の制限
バックアップを取る
ウイルス ウイルス対策ソフト導入
PCの社内持込禁止
廃棄 処理不足 シュレッダー処理
大量の場合は溶解処理
再利用 再利用や裏紙利用禁止
システム情報 処理不足 データ消去ソフトの利用
メディアシュレッダー処理
再利用 利用終了後全データの完全消去
【必要な資源を確保】

STEP05の実施に基づき、各部門及び階層における個人情報を保護するための体制の整備を立案し、代表者に提示します。これにより、代表者は経営資源を配分し人事発令等を指示することとなります。

STEP 06:内部規程等の作成

STEP05までの経過に基づき、自社の業種や規模に応じた実効性のある内部規程を作成します。
個人情報保護マネジメントシステム実施にあたっては、最低限以下の規程を整備する必要があります。全ての役員及び従業員が個人情報の保護を実現するために、具体的な手順や手段等が詳細に規定されていなければなりません。

A:個人情報を特定する手順に関する規程

既に取得している個人情報はもとより、新しく取得する個人情報の特定する場合にも漏れがないように定めます。
個人情報保護管理者が、個人情報の特定に関する最新状況を速やかに把握できる仕組みにします。

【個人情報保護基本規程条文例】
(個人情報の特定)

第〇条 個人情報保護管理者は、事業の用に供するすべての個人情報を特定するための手順を内部規程として文書化する。
A 個人情報責任者は、「個人情報保護細則」に定められた手順に従い、個人情報の項目、利用目的、保管場所、保管方法、アクセス権を有する者、利用期限、保管期限などを記載した、個人情報を管理するための台帳を整備するとともに、当該台帳の内容を少なくとも年一回、適宜に確認し、最新の状態で維持する。
【個人情報保護細則条文例】
(個人情報の特定)

第○条 各部門の個人情報責任者は、「個人情報特定調査表」に従い、保有する個人情報の特定(リストアップ)をする。
A個人情報責任者は、個人情報担当者に指示して「個人情報特定調査表」を完成させ確認の後、推進事務局へ提出する。
B推進事務局は、必要に応じて部門ヒアリングを実施し、全部門の個人情報を特定し、「個人情報管理台帳」に整理する。また、部門間に跨って取扱う個人情報については「個人情報取扱フロー図」を作成する。
C新規の個人情報を取得する場合は、第○条に従い、個人情報責任者の承認を得るものとする。
B:法令、国が定める指針その他の規範の特定、参照及び維持に関する規程

特定した法令等について常に最新版を参照し、必要がある場合には、個人情報保護マネジメントシステムに反映させる手順を規定します。

【個人情報保護基本規程条文例】
(法令、国が定める指針その他の規範)

第○条 個人情報保護管理者は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し参照できる手順を確立し、かつ、維持する。
【個人情報保護細則条文例】
(法令、国が定める指針その他の規範)

第○条 推進事務局は、個人情報の取扱いに関する法令、国が定める指針及びその他の規範(以下、法令等という)を特定し、「個人情報保護法規制一覧表」に登録する。
A法令等は、「個人情報保護法規制一覧表」に定める保管場所(URL等)を参照する。
B推進事務局は、3カ月毎に以下のサイトの情報確認の上、「個人情報保護法規制一覧表」を更新する。その他法令等の改定に気づいた場合は、随時「個人情報保護法規制一覧表」を更新する。
C:個人情報に関するリスクアセスメント及びリスク対策の手順に関する規程

リスクは環境の変化や技術の進歩等により変動しますので、定期的な見直しや必要に応じて見直しを実施することを規定します。

【個人情報保護基本規程条文例】
(リスクアセスメント及びリスク対策)

第〇条 個人情報に関するリスクについて、次の事項を踏まえて、個人情報保護リスクアセスメント(リスクを特定、分析及び評価)をするための手順を定め、かつ実施する。手順及び実施した内容については、少なくとも年一回及び必要に応じて適宜に見直す。
1. 次の観点を、個人情報保護のリスク基準とする。
 a) 構築・運用指針に定める事項
 b) 法令及び国が定める指針その他の規範に関する事項
 c) 個人情報の漏えい、滅失又はき損等に関する事項
2. 繰り返し実施した個人情報保護リスクアセスメントに、一貫性及び妥当性があり、かつ、比較可能な結果を生み出すことを確実にする。
3. 個人情報保護リスクを特定する。
 a) 事業毎に、個人情報の取扱いを特定する。
 b) 個人情報の取得、保管、利用及び消去等に至る各局面において、適正な保護措置を講じない場合に想定されるリスクを特定する。
 c) 上記で特定したリスクのリスク所有者を特定する。
4. 個人情報保護リスクを分析・評価する。
 a) 前号で特定したリスクと、第1号のリスク基準とを比較する。
 b) リスク対応の優先順位を明らかにする。
【個人情報保護細則条文例】
(個人情報のリスク認識)

第○条 推進事務局は、前条で整理した「個人情報管理台帳」を個人情報責任者に通知する。
A個人情報責任者は、前項の通知に基づき、特定した個人情報の取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄に至る個人情報の取扱いの一連の流れの各局面において、適正な保護措置を講じない場合に想定されるリスクを洗い出し、「個人情報リスク管理台帳」を作成し、推進事務局へ提出する。

(個人情報保護リスク区分)

第○条 個人情報保護リスクが顕在化した場合の影響度、リスクの発生確率及び個人情報の規模等を総合的に評価して、個人情報を重要度に応じて次のとおり3区分する。
  1. 1.重要個人情報
  2. 2.一般個人情報
  3. 3.その他個人情報(重要個人情報、一般個人情報以外の個人情報)
A漏えい等での対外的な影響が大きいものを重要個人情報とする。重要個人情報とは次に掲げるものとする。
  1. 1.一般消費者の個人情報
  2. 2.顧客支給品に含まれる個人情報
  3. 3.システムの運用・保守・サービスで取扱う個人情報で特にデータ量が多いもの
  4. 4.社内の個人情報であって全社的規模に相当するもの
  5. 5.社会的通念から影響の大きいもの(採用関連情報など)
B漏えい等での対外的な影響が中程度以下のもので、個人情報の規模が比較的大きいものを一般個人情報とする。
D:会社の各部門階層での権限及び責任に関する規程

個人情報保護管理者及び部門責任者等の権限や責任を明確に規定しなければなりません。

【個人情報保護基本規程条文例】
(役割、責任及び権限)

第〇条 社長は、個人情報保護に関連する役割に対して、責任及び権限を従業者へ割り当てるとともに、その結果を利害関係者(従業者)に周知する。
A 社長は、責任及び権限を、次の事項を実施するために割り当てる。
1. 個人情報保護マネジメントシステムを、構築・運用指針の要求事項に適合させる。
2. 個人情報保護マネジメントシステムの運用の成果を社長に報告させる。
B 役割及び役割に対する責任及び権限を、内部規程として文書化する。
【個人情報保護職務権限規程条文例】
(役割及び責任権限)

第4条 当社の個人情報保護実施・運用に関わる役割及び責任権限は次のとおりとする。

  1. 代表取締役社長
    1. 1.当社の個人情報保護実施・運用に関する最終責任及び権限
    2. 2.個人情報保護方針の策定、承認、実行、維持及び見直しの実施
    3. 3.個人情報保護方針の全従業者への周知徹底及び一般への公開実施
    4. 4.個人情報保護に必要な資源の準備 他
  2. 個人情報保護管理者
    1. 1.規格「構築・運用指針」の要求事項に適合した個人情報保護マネジメントシステムの実施及び維持の実施
    2. 2.各部門の個人情報責任者及び個人情報保護推進委員会への個人情報保護マネジメントシステム遵守に関する周知徹底の実施
    3. 3.個人情報保護方針の全従業者への周知徹底の実施 他
E:緊急事態(漏えい、滅失または毀損した場合)への準備及び対応に関する規程

緊急事態に備えての対応手順を規定する必要があります。その手順は、緊急時に実施可能なものでなければなりません。
漏えい等が発生した場合の本人への対応、個人情報保護委員会、一般財団法人日本情報経済社会推進協会プライバシーマーク推進センター、指定機関、認定個人情報保護団体等関係機関及びマスコミ等への対応も規定しておく必要があります。

【個人情報保護基本規程条文例】
(緊急事態への準備)

第〇条 緊急事態を特定するための手順及び特定した緊急事態にどのように対応するかの手順を内部規程として文書化する。
A 緊急事態への準備及び対応に関する規定には、個人情報保護リスクを考慮し、その影響を最小限とするための手順を含むこと。
B 緊急事態への準備及び対応に関する規定には、緊急事態が発生した場合に備え、次の事項を対応手順に含むこと。
  1. 1.漏えい、滅失又はき損が発生した個人情報の内容を本人に速やかに通知するか、又は本人が容易に知り得る状態に置くこと。
  2. 2.二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係、発生原因及び対応策を、遅滞なく公表すること。
  3. 3.事実関係、発生原因及び対応策を関係機関に直ちに報告すること。
C 緊急事態が発生した場合、定めた手順に従って緊急事態への対応を実施する。
【個人情報保護危機管理規程条文例】
(報告義務)

第○条 個人情報に関する事故が発生した場合、あるいは事故発生の可能性が発覚した場合、発見者並びに社外から報告を受けた社員は、速やかに「苦情・相談窓口」へ報告すること。
A「苦情・相談窓口」の部門長は、担当者からの報告に基づき、個人情報保護管理者へ事故報告書を提出すること。

(個人情報保護管理者の責務)

第○条 個人情報保護管理者は、事故報告書の内容を判断して、次のとおり対応処置を実施すること。
  1. 1.該当する個人情報の利用、提供及び委託等の中止
  2. 2.社内の関連部門・部署の該当業務の中止
  3. 3.業務委託先に対する連絡と対応処置の指示等
A個人情報保護管理者は、事故報告書の内容並びに対応処置に関して代表取締役社長へ報告し承認を得ること。

(危機管理対策委員会)

第○条 個人情報保護管理者は、個人情報事故が発生し、かつ重大問題に繋がると判断した場合には、社長の承認を得て「個人情報保護に関する危機管理対策委員会」を設置する。
F:個人情報の取得、利用及び提供に関する規程

個人情報の取得、利用及び提供に関する関連部署等の手順を規定します。
個人情報の取得に関しては、直接書面による取得(ウェブサイトからの入力も含まれます)とそれ以外の場合に分けて、業務の各場面に応じた事項について詳しく規定します。

取得、利用及び提供の原則

a. 取得の原則 ・利用目的の特定
・適法・公正な手段による取得
・要配慮個人情報の取得・利用・提供の制限
b. 利用の原則 ・目的内で利用
・目的外利用は、予め本人に通知し同意を得る
c. 提供の原則 ・予め本人に通知し同意を得る
個人情報を取得した場合の流れ
【個人情報を取得した場合の事例】
  1. ・委託を受けた場合
  2. ・第三者として提供を受けた場合
  3. ・公開情報から取得した場合
  4. ・監視カメラによって取得した場合
  5. ・口頭によって取得した場合
  6. ・本人から直接書面によって取得する場合
直接書面(紙、Web、その他)による取得の流れ
本人に連絡又は接触(ダイレクトメール等郵便、電話、その他)する流れ
G:個人情報の適正管理に関する規程

適正管理に関する規定には、正確性の確保及び安全性の確保に関する規定が含まれます。

正確性の確保
データ処理システムの運用、更新手続き、処理結果の確認及び個人情報取扱担当者のミスを防止する手続きに関して規定する必要があります。
安全性の確保
事業会社の業務内容や規模に応じた合理的な安全対策を規定する必要があります。
  1. a. 入退館(室)の管理、個人情報の盗難防止等の措置に関する規定
  2. b. 個人情報及びそれを取扱う情報システムへのアクセス制御、不正ソフトウエア対策、情報システムの監視等の措置に関する規定
  3. c. 個人情報の保管・廃棄・バックアップ等に関する個人情報管理規定
  4. d. 個人情報の取扱委託に関する委託先の選定基準及び契約の基準等を定めた個人情報の委託先の監督に関する規定
H:本人からの開示等の請求等への対応に関する規程

保有個人データは、当該本人に開示等を求める権利があり、本人からの要求に対して、どのように対応すべきか詳細に規定する必要があります。

本人からの開示等の請求等への対応の流れ
I:社内教育に関する規程

事業会社等は、全従業員に個人情報保護マネジメントシステムを適切に運用するための必要な教育を行わなければなりません。

教育の対象者
全従業員:役員、正社員、契約社員、派遣社員、パート、アルバイト等
教育の目的
以下の項目に関して理解させること及び理解度のチェックを実施
  1. ・個人情報保護方針
  2. ・個人情報保護マネジメントシステムに適合することの重要性や利点等
  3. ・個人情報保護マネジメントシステムに適合するための役割や責任等
  4. ・個人情報保護マネジメントシステムに違反した場合のリスク等
規定に盛り込む項目例
  1. a. 目的
  2. b. 時期・期間・対象者
  3. c. 内容、方法及び場所
  4. d. 体制(担当者)
  5. e. 通知手続
  6. f. 受講者の出欠確認方法
  7. g. 実施効果の確認方法
  8. h. 実施記録の内容及び保管方法等
【個人情報保護教育規程条文例】
(適用範囲)

第○条 本規程における教育の適用範囲は、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)、役員及び派遣社員も含むものとする。

(教育訓練内容)

第○条 教育訓練の内容は、次のとおりとする。
1.個人情報保護についての関係法令及び社内規程等に基づく実務研修

(教育責任者)

第○条 教育責任者は、個人情報保護管理者があたり、教育訓練の企画・立案を統括する。

(教育責任者の役割)

第○条 教育責任者は次の業務を実施する。
  1. 1.年度の教育計画の立案
  2. 2.教育実施及び実施結果の評価
  3. 3.教育実施状況の関連部署への報告
J:文書化した情報の管理に関する規程

個人情報保護方針、内部規程、計画書及び記録は、個人情報保護マネジメントシステムを構成する文書として管理しなければなりません。

文書の範囲
  1. 個人情報保護方針
  2. 内部規程
  3. 計画書
  4. 記録
文書管理
  1. 発行・改訂の管理
  2. 最新版の管理
  3. 保管・配布の管理
記録の管理
  1. 必要な記録の特定
  2. 保管・保護・保管期間・廃棄方法等
【個人情報保護基本規程条文例】
(文書化した情報の管理)

第〇条 個人情報保護マネジメントシステム及び構築・運用指針で要求されている文書化した情報は、次の事項を確実にするために管理する。
  1. 1.必要な時に、必要な所で、入手可能かつ利用に適した状態である。
  2. 2.十分に保護されている(例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護)。
A 文書化した情報の管理にあたっては、次の事項を実施する。
  1. 1.配付、アクセス、検索及び利用
  2. 2.読みやすさが保たれることを含む、保管及び保存
  3. 3.変更の管理(例えば、版の管理)
  4. 4.保持及び廃棄
B 個人情報保護マネジメントシステムに必要となる外部からの文書化した情報は、必要に応じて特定し、管理する。
【個人情報保護文書管理規程条文例】
(適用範囲)

第○条 本規程は、個人情報保護に関する個人情報保護マネジメントシステム文書及びそれに関連する文書に適用する。
規程→基本規程に定められた管理項目を、実務に適用するために必要となる手順を規定した文書
細則→基本規程に定められた事項に関する管理の対象及び手順を規定した文書
様式→基本規程に定められた計画書及び管理台帳等を記載するための書式文書

(文書管理手順)

第○条 管理の対象となる規程及び細則は、『文書管理一覧表』に定める。
A規程及び細則の作成、承認、改定の作業手順は次項に定め、配布範囲及び廃棄手順は『文書管理一覧表』に定める。
B新たに規程及び細則等を作成する場合は、当該規程等の担当部門が起案し、個人情報責任者及び個人情報保護管理者が確認し、代表取締役社長の承認後、『文書管理一覧表』に追加登録し管理するもとする。
K:苦情及び相談への対応に関する規程
  • ・事業会社等は、本人からの苦情及び相談に対して、迅速に対応する体制を詳細に規定する必要があります。
  • ・常設の担当窓口または担当者を定めておく必要があります。
  • ・苦情等の重要度に応じて会社代表者へ報告する体制を規定に盛り込む必要があります。
【個人情報保護基本規程条文例】
(苦情及び相談への対応)

第〇条 個人情報の取扱い及び個人情報保護マネジメントシステムに関して、本人からの苦情及び相談を受け付けて、適切かつ迅速な対応を行う手順を内部規程として文書化する。
A 苦情及び相談への対応を実施する。
B 苦情の申立て先を、本人にとって明確にする。
C 認定個人情報保護団体の対象事業者となっている場合は、当該団体の苦情解決の申し出先を明示する。
D 本人からの苦情及び相談を受け付けて、適切かつ迅速な対応を行うための体制を整備する。
【苦情及び相談対応規程条文例】
(苦情・相談窓口)

第○条 本人からの苦情及び相談窓口は、個人情報保護推進事務局内に設置する。

(苦情・相談窓口の公表)

第○条 本人からの苦情及び相談窓口を当社ホームページに掲載する。

(受付方法)

第○条 本人からの苦情及び相談について、来社・電話・FAX・電子メール・郵送により問い合わせを受ける。
A苦情及び相談窓口は、以下のとおりとする。
〒XXX-XXXX
東京都港区XXXX
電話番号 XX-XXXX-XXXX
FAX  XX-XXXX-XXXX
電子メール XXX@XXX.XX.XX
L:点検に関する規程

点検には、監視、測定、分析及び評価と監査が含まれます。
監視、測定、分析及び評価は、各部門及び各階層で日常的に気づいた事があった場合に是正していくことを規定します。
監査は、個人情報保護マネジメントシステムの「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」への適合状況と運用状況を定期的かつ必要に応じて随時点検し評価しなければなりません。

規定に盛り込む事項例
  1. a. 目的
  2. b. 時期・期間・対象
  3. c. 実施体制
  4. d. 監査担当者の責務と権限、倫理、守秘義務
  5. e. 計画(基本計画・個別計画・代表者による計画の承認等)
  6. f. 被監査部門への通知手続方法
  7. g. 監査報告書(代表者への報告、報告会等の開催)
  8. h.フォローアップ
  9. i.監査記録の内容及び保管方法等
【個人情報保護基本規程条文例】
(監視、測定、分析及び評価)

第〇条 各部門及び階層の管理者が定期的に、及び適宜にマネジメントシステムが適切に運用されていることを確認する手順を内部規程として文書化する。
A 個人情報保護マネジメントシステムが適切に運用されているかどうかを確認するために、次の事項を決定する。
  1. 1.対象とする個人情報保護マネジメントシステムの運用状況
  2. 2.前号で対象とした運用状況の監視、測定、分析及び評価の方法
  3. 3.第1号で対象とした運用状況の監視及び測定の実施時期
  4. 4.第1号で対象とした運用状況の監視及び測定の実施者
  5. 5.第1号で対象とした運用状況の分析及び評価の時期
  6. 6.第1号で対象とした運用状況の分析及び評価の実施者
【個人情報保護監査規程条文例】
(適用範囲)

第○条 監査の対象範囲は、次のとおりとする。
  1. 1.情報システム:個人情報を処理するすべての情報システム
  2. 2.業務:個人情報保護マネジメントシステムに基づいて個人情報を取り扱う全業務
  3. 3.部門:個人情報保護マネジメントシステムに基づいて個人情報を取り扱う関連部門


(監査時期)

第○条 監査の実施時期は、次のとおりとする。
  1. 1.個人情報保護マネジメントシステムの修正等の実施に応じて適時行うこと。
  2. 2.運用状況の監査は、毎年一定の期間を定め行うこと。
  3. 3.その他必要に応じて随時監査を行うこと。


(実施体制)

第○条 個人情報保護監査責任者は、監査に係る事項を主管する。
A個人情報保護監査責任者は、監査人による実施体制を編成することができる。
M:是正処置に関する規程

緊急事態の発生、外部機関の指摘、点検結果及び外部からの苦情等により不適合が発見された場合、その不適合に対して是正処置を講ずる手順を規定しなければなりません。

規定に盛り込む項目例
  1. a. 不適合の対処
  2. b. 不適合の原因を除去するための処置の検討
  3. c. 是正処置を計画し、計画された処置を実施
  4. d. 実施された全ての是正処置の有効性を調査、分析及び評価
  5. e. 個人情報保護マネジメントシステムの改善
【個人情報保護基本規程条文例】
(不適合及び是正処置)

第〇条 次の事項を含めて、不適合に対する是正処置を実施するための責任及び権限を定める手順を内部規程として文書化する。
1. その不適合に対処し、該当する場合には、必ず、次の事項を行う。
 a) その不適合を管理し、修正するための処置をとる。
 b) その不適合によって起こった結果に対処する。
2. 次の事項によって、その不適合の原因を除去するための処置を検討する。
 a) その不適合を調査及び分析する。
 b) その不適合の原因を特定する。
 c) 類似の不適合の有無、又はそれが発生する可能性を検討する。
3. 是正処置を計画し、計画された処置を実施する。
4. 実施された全ての是正処置の有効性を調査、分析及び評価する。
5. 必要な場合には、個人情報保護マネジメントシステムの改善を行う。
 A 不適合が明らかとなった場合、前項各号の事項を実施する。
 B 第1項各号の実施結果について、文書化した情報を保持するとともに、社長が承認する。
【個人情報保護細則条文例】
(是正処置の手順)

第〇条 不適合が発生した場合には、次に掲げる手順で是正処置を実施する。
1. 是正処置担当者は、その不適合に対処し、該当する場合には、必ず、次の事項を行う。
 a) その不適合を管理し、修正するための処置をとる。
 b) その不適合によって起こった結果に対処する。
2. 是正処置担当者は、次の事項によって、その不適合の原因を除去するための処置を検討する。
 a) その不適合を調査及び分析する。
 b) その不適合の原因を特定にする。
 c) 類似の不適合の有無、又はそれが発生する可能性を検討する。
(以下省略)
N:マネジメントレビューに関する規程

個人情報保護マネジメントシステムをより良いものとするための仕組み全体の見直し。
個人情報保護マネジメントシステムの運用状況や内外の諸環境の検討等。

規定に盛り込む項目例
a. 前回までのマネジメントレビューの結果を踏まえた見直しの状況
b. 個人情報保護マネジメントシステムに関連する外部及び内部の問題点の変化
c. 以下の状況を踏まえた、現在の個人情報保護マネジメントシステムの運用状況の評価
 1) 不適合及び是正処置
 2) 確認及び点検の結果
 3) 監査結果
 4) 個人情報保護目的の達成
d. 利害関係者からのフィードバック
e. リスクアセスメントの結果及びリスク対応計画の状況
f. 継続的改善の機会
【個人情報保護基本規程条文例】
(マネジメントレビュー)

第〇条 マネジメントレビューを実施する手順を内部規程として文書化する。
A 社長は、個人情報保護マネジメントシステムが、引き続き、適切、妥当かつ有効であることを確実にするために、少なくとも年一回及び必要に応じて適宜にマネジメントレビューを実施する。
B マネジメントレビューの実施にあたっては、次の事項を考慮する。
 1. 前回までのマネジメントレビューの結果を踏まえた見直しの状況
 2. 個人情報保護マネジメントシステムに関連する外部及び内部の問題点の変化
 3. 以下の状況を踏まえた、現在の個人情報保護マネジメントシステムの運用状況の評価
  a) 不適合及び是正処置
  b) 確認及び点検の結果
  c) 監査結果
  d) 個人情報保護目的の達成
 4. 利害関係者からのフィードバック
 5. リスクアセスメントの結果及びリスク対応計画の状況
 6. 継続的改善の機会
【個人情報保護細則条文例】
(マネジメントレビュー)

第○条 社長は、毎年3月に個人情報保護マネジメントシステム見直し会議(以下、見直し会議という)を開催する。
A見直し会議の参加者は、社長のほか個人情報保護管理者、個人情報保護推進委員会メンバー及び個人情報保護監査責任者とする。
B次に掲げる手順で個人情報保護マネジメントシステムの見直しを実施する。
  1. 1.個人情報保護推進事務局は、基本規程第○条に定める事項について情報を準備し、見直し会議に報告する
  2. 2.個人情報保護推進事務局から提供された情報をもとに個人情報保護マネジメントシステムの見直しを行い、決定事項について改善を指示する
  3. 3.個人情報保護管理者は、改善の実施結果を社長に報告する
O:内部規程の違反に関する罰則の規程

個人情報の取り扱いで個人情報保護マネジメントシステムに違反した場合の措置を規定する。
罰則規定は、自社の就業規則等に定められているものを適用することも可能であるが、その場合には、本規定の中で適用する規則等を明示する必要があります。

【個人情報保護基本規程条文例】
(懲戒)

第○条 本規程に違反した場合は、就業規則の罰則に則って処罰を受けるものとする。
P:個人情報保護マネジメントシステム構成マップ

FAQ(よくある質問)はこちら

関連する最新テンプレートは、こちらからダウンロードできます。

テンプレート一覧はこちら

Stage運用

Stage 2で構築した規程及び様式類に基づき、全従業員を対象に個人情報保護マネジメントシステムの教育を実施後、全社で運用を開始します。
構築したマネジメントシステムの運用チェックを行い、不備等を発見した場合には、是正処置を行い規程類等の見直しをします。

STEP 07:教育の実施

教育に関する規定に定められた手順に従って、教育担当者が教育を実施します。 教育実施後は、教育効果の確認を行うとともに、教育記録を残し、次回以降の教育に反映する資料とする必要があります。

  • 【個人情報保護教育計画書例】
  • 【個人情報保護教育実施記録例】

STEP 08:運用の開始

計画が立てられ、その実施手順が規定され、必要な体制が確立し、各担当者の責任・権限が規定され、全従業員の教育を施した段階で、初めて個人情報保護マネジメントシステムの運用が可能となります。

個人情報保護マネジメントシステムは、個人情報保護方針に基づき、計画を作り(PLAN)、実行し(DO)、監査し(CHECK)、見直し(ACT)を行うという、このPDCAサイクルを維持継続することにより、事業会社の管理能力を高めていくことにあります。

STEP 09:運用の点検・改善

監査責任者は、個人情報保護マネジメントシステム運用開始後一定期間を経過した時点で、個人情報保護の状況について点検し評価をしなければなりません。
監査責任者は、評価の結果を監査報告書に取りまとめ、事業会社等の代表者へ提出します。

内部監査の手順
  • 監査計画の立案
  • 監査員の選定
  • 文書類の監査
  • 実施検査
  • 監査報告提出
  • フォローアップ※注

(※注)監査そのものについても改善が必要となります。PDCAサイクルは、マネジメントシステム全体はもちろんですが、個々の活動においても適用すべきものとされます。

【マネジメントレビュー】

マネジメントレビューに関する規定に定められた手順に従い、現状の個人情報保護マネジメントシステムで適切であるかどうか検討を加え、必要に応じて改善を実施します。

プロジェクトチームは、監査結果を受けて代表者から出された見直し指示に従い、個人情報保護マネジメントシステムの改善を実施します。

必要な改善措置の後、該当する規程文書に改善内容を反映させ、改善日及び改善内容等を履歴として記録しておかなければなりません。

「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」においては以下の事項を考慮しなければなりません。
  1. a. 前回までのマネジメントレビューの結果を踏まえた見直しの状況
    b. 個人情報保護マネジメントシステムに関連する外部及び内部の問題点の変化
    c. 以下の状況を踏まえた、現在の個人情報保護マネジメントシステムの運用状況の評価
     1) 不適合及び是正処置
     2) 確認及び点検の結果
     3) 監査結果
     4) 個人情報保護目的の達成
    d. 利害関係者からのフィードバック
    e. リスクアセスメントの結果及びリスク対応計画の状況
    f. 継続的改善の機会

FAQ(よくある質問)はこちら

関連する最新テンプレートは、こちらからダウンロードできます。

テンプレート一覧はこちら

Stage申請・審査

Pマーク申請書類を作成し、JIPDECまたは指定審査機関へ申請し、文書及び現地審査等を受けます。

STEP 10:付与機関等へ申請

プライバシーマーク付与適格性審査の申請に際しては、申請時にSTEP 01からSTEP 09まで実施していることが必要となります。

プライバシーマーク付与適格性審査の申請は、一般財団法人日本情報経済社会推進協会(JIPDEC)、またはJIPDECが指定した「プライバシーマーク指定審査機関」のいずれかに申請し、付与適格性の審査を受けます。

【プライバシーマーク指定審査機関】

指定審査機関は業種別であり、基本的にそれぞれの機関に会員企業として登録した企業の審査を実施することになっています。指定審査機関の業種に当てはまらない企業や非会員の場合は、JIPDECへ申請し、 付与適格性審査を受けることになります。

地域対応の指定審査機関は、カバーする府県を定めており、企業の本社の所在地によって分けられます。これにより、本社の近くの指定審査機関で審査を受けられるようになりました。

保健・医療分野・社会福祉の事業者に関しては、扱っている個人情報が機微であることや、特殊な業務であることもあり、申請先として「一般財団法人医療情報システム開発センター」を優先するようになっています。

プライバシーマーク指定審査機関一覧はこちら
申請からPマーク交付及びJIPDECのホームページでの公表までの流れ

STEP 11:文書審査、現地審査

申請をしてから文書審査、現地審査、付与適格決定及び登録証交付という流れになります。申請から審査までの時間は、申請した指定審査機関によっても異なりますが、約3〜5ヶ月くらいのようです。

審査は、申請先であるJIPDECまたは指定審査機関によって行われます。文書審査及び現地審査では、何らかの指摘事項があるようです。

【文書審査】
文書審査に対するポイント
必要な文書があるか
必要なことが書かれているか
書かれていることが、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」の要求に適合しているか
指摘事項のフォローアップについて
申請書類の文書審査が行われ、文書審査チェックリストが送られてきます。
文書審査チェックリストで指摘された規定等の不備については、現地審査までに改善・修正を完了させておかなければなりません。
現地審査の結果、規程類と運用実態がかけ離れている場合は、規程類が修正されていたとしても改めて文書の不備として指摘されることもあるようです。
【現地審査】
現地審査に臨んでのポイント
現地審査は、トップインタビューと現地の確認が行われます。
プライバシーマークの現地審査では、審査を受ける事業会社等の当事者以外の者が立ち会うことは許可されていません。従って、コンサルタントが審査に立ち会うことはできません。
プライバシーマークに関しては、事業者自身が審査を受ける、ということを念頭に置いて、マネジメントシステムの構築から深くかかわっていくことが重要です。
「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」の要求事項のどの部分が、文書のどこに書いてあるかを説明できることがポイントです。
書類および現地審査の結果に基づき、プライバシーマーク付与適格性の可否が決定され、後日通知が送付されます。その後、1カ月後くらいにプライバシーマークの付与事業者となります。
指摘事項のフォローアップについて
現地審査の結果については、指摘事項として書面で送付されます。
指摘事項については、是正処置を講じて、当該指摘事項書類発行日から3ヶ月以内に改善報告書を提出した場合、再審査が行われます。ただし、改善報告書を提出しなかった場合は、再審査請求がなかったものと見なされ、審査が打ち切られます。

FAQ(よくある質問)はこちら

関連する最新テンプレートは、こちらからダウンロードできます。

テンプレート一覧はこちら