「個人情報保護法」「マイナンバー法」「プライバシーマーク制度」 実務に関わる「個人情報」の取り扱いについて

FAQ (よくある質問) 一覧

プライバシーマークについて／プライバシーマーク全般

• Ｐマークとは？／Ｐマーク取得のメリット
• Ｐマーク制度のスキーム
• Ｐマーク取得の単位／Ｐマークの有効期間
• Ｐマーク申請から利用開始まで

Stage１ 準備について／個人情報保護方針の策定など準備段階

Stage２ 構築について／個人情報の現状把握や教育実施などの構築

• 個人情報保護方針の周知
• 個人情報の洗い出し
• 個人情報保護法令の特定
• 個人情報のリスク把握・分析・対策
• 必要な資源を確保
• 内部規程等の作成

Stage３ 運用について／構築したマネジメントシステムの運用

• 教育の実施
• 運用の開始
• 運用の点検・改善

Stage４ 申請・審査について／ＪＩＰＤＥＣまたは指定審査機関へ申請し、文書及び現地審査等を受ける際

• 付与機関等へ申請
• 文書審査・現地審査
• 現地審査のフォローアップ

プライバシーマークについて

Ｐマークとは？／Ｐマーク取得のメリット

Ｐマークは取る必要があるのですか？

基本的にプライバシーマークを取得する、しないは、各事業会社の任意です。 ただし、第三者認証制度であるプライバシーマークを取得することで、社員に対して個人情報漏洩等のリスクを認識させることができることや情報セキュリティの改善が不断に行われているといったことが、消費者等にアピールできるメリットがあります。

ＰマークとＩＳＭＳの違いを教えて下さい。

ＩＳＭＳは、情報セキュリティマネジメントシステムに対する第三者適合性評価制度です。Ｐマークとの大きな相違は、以下の3点となります。
①Ｐマークが個人情報を保護対象としているのに対し、ＩＳＭＳでは、個人情報に限らず情報資産全般を保護対象としていることです。
②Ｐマークは、個人情報取得時の利用目的等の同意の取得や本人からの個人情報の開示、訂正または削除の要望に応じるなどセキュリティ対策以外の管理が必要ですが、ＩＳＭＳはセキュリティ対策が中心となります。
③Ｐマークは、法人単位での取得が原則ですが、ＩＳＭＳは、一部の事業所で取得するなど適用範囲を決定することができます。
共通点は、いずれも教育、文書管理、監査及び経営者のレビューの実施が求められていることです。

Ｐマークを取得していたら、仮に個人情報の漏洩があったときに法的な利点はあるのですか？

プライバシーマークを取得しているからといって、法的に有利な立場にあるとはいえません。

Ｐマーク制度のスキーム

プライバシーマーク取得にあたり、準備から申請、認定までどのくらいの期間が必要ですか？

申請件数が増加傾向にあるようですので、申請から認定までおよそ３〜６ヶ月を要しているようです。その前の準備段階では、だいたい６ヶ月から１年を目安に準備期間を設けるのが一般的と思われます。

プライバシーマークの取得までには、どのくらいの費用がかかりますか？

申請及び審査にかかる費用として、申請料、審査料のほか、現地調査にかかる実費が必要となります。また、認定後には別途、マーク使用料（２年分）がかかります。これらの各費用は、申請事業者の規模によっても金額が異っています。

Ｐマーク取得の単位／Ｐマークの有効期間

事業部や事業所単位でのプライバシーマークの取得は可能ですか？

プライバシーマークの取得は、事業部や事業所単位での認定ではなく、すべて法人単位での全社認定制度となっています。

更新申請はいつまでにする必要がありますか？

更新を受けようとする事業者は、プライバシーマーク付与認定の有効期間の満了前8ヶ月以内4ヶ月前までに行わなくてはならないとされています。

有効期間中に更新できなかった場合は取り消しとなりますか？

有効期間の満了前8ヶ月以内4ヶ月前までに更新申請を行わなかった場合、有効期間満了日の翌日から、プライバシーマーク付与契約書は無効となり、プライバシーマークの使用はできなくなります。

Ｐマーク申請から利用開始まで

個人情報保護管理者等を変更したのですが、何か手続きが必要ですか？

指定機関（含JIPDEC）が定めている申請事項の変更による報告すべき事項に該当しますので、指定機関（含JIPDEC）が提供している様式「プライバシーマーク付与に係る変更報告書」を作成して提出する必要があります。
変更報告が必要な事項は次のとおりです。
・事業者名
・本社所在地
・代表者名
・個人情報保護管理者
・個人情報保護監査責任者
・申請担当者/連絡先(郵便番号、勤務先所在地、TEL、FAX、E-mailアドレス)

社内組織を変更したのですが、JIPDECに対して手続が必要ですか？

社内組織が変更された場合には、それに併せて当該企業の個人情報保護の体制の変更を行う必要があります。その際に指定機関（含JIPDEC）が提供している様式「プライバシーマーク付与に係る変更報告書」を作成して提出する必要があります。

分割(合併)をしたのですが、何か手続きが必要ですか？

会社が分割(合併)する場合には、プライバシーマーク付与認定の単位が変更されることになり、分割(合併)に係わる審査を行うこととなります。プライバシーマーク認定取得会社どうしの合併か未取得会社との合併か等によりその申請内容や審査内容が異なりますので、事前に指定機関（含JIPDEC）に相談されることをお奨めします。

商号を変更したのですが、何か手続きが必要ですか？

指定機関（含JIPDEC）が定めている申請事項の変更による報告すべき事項に該当しますので、指定機関（含JIPDEC）が提供している様式「プライバシーマーク付与に係る変更報告書」を作成して提出する必要があります。
変更報告が必要な事項は次のとおりです。
・事業者名
・本社所在地
・代表者名
・個人情報保護管理者
・申請担当者/連絡先(郵便番号、勤務先所在地、TEL、FAX、E-mailアドレス)

個人情報に係わる事故が発生した場合、すぐに認定取り消しとなるのですか？

個人情報に係わる事故が発生した場合、速やかに指定機関（含JIPDEC）及び関係各機関へ通知しなければなりません。指定機関（含JIPDEC）は事故報告に基づき審議・調査を行った後に、当該事業者に対する措置を決定します。通常、この審議・調査の前に認定取り消しになることはないようです。

業務委託先で個人情報の漏洩事故が起きましたが、その場合でも報告する必要がありますか？

JISQ15001や個人情報保護法では、個人情報に係わる業務につき委託先を監督する責任が定められています。事故を起こした会社が個人情報に係わる業務委託先（代理店、請負業者、印刷業者等）である場合、必ずJIPDECや指定機関等に連絡をする必要があります。

販促物にプライバシーマークのロゴを加工して印刷したいのですが大丈夫でしょうか？

「プライバシーマーク使用規約」では、プライバシーマークを、名刺、ホームページ、宣伝・広告用資料、封筒、便箋その他これに類するものに使用することが認められています。 ただし、設備、施設又は製品（サービスを含む）そのものがプライバシーマーク付与を受けているとの誤認を招くような方法で、プライバシーマークを使用することはできません。

名刺にプライバシーマークを印刷する場合、ロゴの登録番号の部分を省略してかまわないですか？

プライバシーマークの認定番号は、カッコ書きの部分も含めて１つの許諾番号となっていますので、これを省略・加工して使用することは一切認められていません。
ただし、プライバシーマーク付与を受けた回数を示す番号（括弧で表す数字）の表示は任意です。

Stage１　準備について

Ｐマーク取得プロジェクトチームを作る

個人情報保護管理者には、どのような人を任命すればいいのですか？

個人情報保護管理者は、個人情報に関する全権限・責任を有することになりますので、社外に責任をもつことができる者（例えば、役員クラス）を任命することが望ましいと思われます。

個人情報保護管理者（CPO）は、代表取締役がその任に就くことに問題はありますか。

JISQ15001:2017は、事業者の代表者は、個人情報保護管理者を事業者の内部の者から指名し、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わせなければならないと、要求していますので、原則として代表取締役以外の者を個人情報保護管理者に指名します。ただし、小規模の組織の場合、代表取締役が個人情報保護管理者を兼務することも認められます。

本店と支店（工場）を保有していますが、それぞれに個人情報保護管理者を設置する必要がありますか。

個人情報保護管理者は、最低1名置かなければなりませんが、支店や事業所等にも置くかどうかは任意です。事業規模が大きく、支店の従業員(パート、アルバイト及び派遣社員も含む)も多人数に達している場合などは、個人情報保護マネジメントシステムを適切に運用する意味から、支店にも個人情報保護管理者を置いたほうが良いと思われます。

プロジェクトチームのメンバーの担当は兼任できますか？

個人情報保護監査責任者については、独立した公平かつ客観的な立場の確保が求められますので、個人情報保護管理者との兼任だけは認められていません。

Stage２　構築について

個人情報保護方針の周知

個人情報保護方針はどこに掲載すればいいのですか？

ＨＰ上に掲載する場合には、ＨＰのトップページからワンクリックで表示されるページに掲載することが望ましいです。

個人情報の洗い出し

社内で保有している個人情報の一覧表は、どのように作ったら良いですか？

基本的には、個人情報が適法に管理できる一覧表であればよいので、特別、決められたフォーム等はありません。ただし、個人情報を管理するに際し、JISQ15001：2017やガイドライン等で一定の方向性が示されています。
個人情報の特定にあたっては、「当該個人情報の利用目的、入手経路、社内での取扱経路(取扱部署)、保管(一時保管も含む)場所、保管形態(電子媒体、紙等)、保管期間、廃棄方法等について台帳等にまとめるとよい」としています。
また、個人情報の管理のための単位は、たとえば電子化されている個人情報ならば、それが格納されている１ファイルを一つのまとまりとする方法や、紙媒体に記録されている個人情報ならば、それが記録されている帳票のまとまりを一まとまりとする方法など、管理のしやすさを考慮しながら行えば良いでしょう。

契約書は個人情報として管理すべきものですか？

契約書には様々な種類がありますが、個人の名前、住所等が記載されている契約書である場合、これは個人情報に該当します。したがって、このような契約書は、個人情報保護の観点から管理が適切かどうかを確認し、個人情報保護マネジメントシステム上で管理の対象となります。

名前が記載されている書類等は全て個人情報となりますか？

実務上、個人名の記載されている書類等を見ることによって個人を特定できるものがほとんどであると思われますので、個人情報に該当します。

商品発送依頼を受けた場合の注文書や配送伝票の控えも個人情報に該当しますか？

発送依頼を受けた場合の送付先は個人情報であり、配送伝票の控えも個人情報に該当します。

氏名がなければ個人情報には該当しませんか？

必ずしもそうとは限りません。住所、性別、年齢などの情報の組み合わせにより特定個人を識別しうる情報になります。

写真や映像は個人情報になりますか？

個人情報は映像も含まれますので、個人を識別しうるものであれば個人情報に該当します。

名刺は個人情報台帳に記入すべきですか？

名刺も個人情報ですので、洗い出しの際には個人情報としての認識が必要です。

メールアドレスは個人情報ですか？

意味をもたない英数字の羅列のみの場合には個人情報に該当しませんが、姓と名からなる場合や、苗字のみであっても＠の後ろが会社名など、当該情報から個人を特定できる場合には個人情報となります。

個人情報の洗い出しはどうやるのですか？

大きく2つの方法があると思われます。一つは、社員全員に対してアンケート形式で洗い出しを行なう方法、もう一つは、プロジェクトのメンバーが全員に対してヒアリングを行いまとめる方法です。

アンケート形式で行なう場合の注意点はなんですか？

社員全員に対してアンケート形式で行なう場合は、2つの注意点があります。
1つ目は、提出期限を守ってもらうことです。期限が守られないとすべてのスケジュールが遅れてしまう可能性があります。
2つ目は、個人情報の定義が重要になります。全員に対して個人情報の洗い出しを行なう訳ですから、個人情報とは何かがはっきりしていないと、正しい情報が洗い出されないことになります。

ヒアリング形式で行なう場合の注意点はなんですか？

全員に対してヒアリング形式で行なう場合は、2つの注意点があります。
1つ目は、各人をヒアリングする時間とスケジュールを整備することです。スケジュールが整備されていないと非常に時間が掛かってしまいます。
2つ目は、ヒアリングした情報のまとめかたが重要になります。全員に対して個人情報のヒアリングを行なう訳ですから、情報量は多くなります。どのように選別して整理するかが、正しい情報を洗い出すコツになります。

個人情報保護法令の特定

業務提携先と共有する個人情報があり、個人情報の取得は業務提携先が行っております。このような場合どのような点に気をつけたらいいですか？

この場合の個人情報の取得は「直接書面による取得｣以外の方法による取得になります。業務提携先が直接書面による取得と同等な手続き、また当社への提供（第三者提供または共同利用）について適正な措置を行っていない場合には個人情報を利用できない場合があります。

個人情報を委託する場合には、委託先について開示を行う必要はありますか？

委託をすることが明らかである場合には、取得の際に「委託を行う」ことを明示する必要はありますが、委託先を明示することまでは必要ではありません。

委託と提供の違いはなんですか？

個人情報を第三者に提供する場合には、あらかじめ、本人に対して、取得方法等の内容の事項を通知し、本人の同意を得なければなりません。これに対して、特定した利用目的の達成に必要な範囲内において、個人情報の取扱いの全部又は一部を委託する場合には、取得方法等の通知、本人の同意を得る必要はありません。

個人情報のリスク把握・分析・対策

個人情報のリスク調査とは、具体的にはどのようなことをすれば良いですか？

リスク調査においては、保有する個人情報を特定・リスト化し、それらに対する予防策ないしは事後の対処策を明確にすることが必要です。
リスクは、個人情報のライフサイクル（取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄）ごとに洗い出すことがポイントです。また、対策を講じたとしてもリスクが全くなくなるわけではないため、未対応部分については残存リスクとして認識し、管理する必要があります。

会社の業務上、発生しないリスクについても規定する必要がありますか？

現状では発生していないリスクについても、今後、十分に発生が想定されるリスクであれば事前にリスク対策をとっておく必要があると思われます。

個人情報を直接書面によって取得することはありませんが、直接書面による取得に関する規定は必要ですか？

個人情報については、社員の個人情報の取得を必ず行いますので、直接書面による取得がないことは考えられません。また、社外からの取得についても採用活動等が考えられますので、直接書面による取得に関する規定は必ず定めなければなりません。

ネット上で入力してもらい取得する個人情報は直接書面による取得に該当しますか？

電子的な方法であっても書面に含まれることになっておりますので、直接書面による取得となります。

個人情報を個人のキャビネット（鍵付）に保管しています。これは、個人がアクセス権限者であれば問題ありませんか？

個人情報のリスク対策には、「アクセス権限者による不正アクセス・不正利用等」に対する対策も必要となります。アクセス権限者のみが触れることができ、当該個人情報へのアクセスログが管理できない状況では十分な対策とはいえない可能性があります。

リスクの把握とは、何のために行なうのですか？

リスクの把握とは、特定された個人情報に対して、そもそもどのようなリスクがあるかを認識するために行ないます。

リスクの分析とは、何のために行なうのですか？

リスクの分析は、把握されたリスクを評価することであり、対策がその評価に応じた合理的なものであるか判断するために行います。

リスクの対策とは、何のために行なうのですか？

リスクの対策は、事業者が取り得る最良の措置を講じ、リスクの発生を予防するために行います。

必要な資源を確保

個人情報保護管理者にはどのような職責が課せられるのですか？

個人情報保護管理者は、個人情報保護マネジメントシステムの実施及び運用に関する責任と権限を有する者、と定義されており､代表者は、個人情報保護管理者に個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わさせなくてはならない、とされています。具体的な業務内容については、自社の個人情報保護職務権限規程等の定めによることとなります。また、個人情報保護管理者の事務を代行する事務局を設け、管理事務を代行させることも認められます。

従業員が少ないので、個人情報保護管理者や個人情報保護監査責任者等を兼任させても良いですか？

個人情報保護監査責任者については、独立した公平かつ客観的な立場の確保が求められますので、個人情報保護管理者との兼任は認められていません。

会社の入り口にセキュリティのためのドアが既にあります。ただし、パスワードが１つしかないため、全員同じパスワードを使用しているのですが、セキュリティ対策をしていることになりますか？

パスワードが同一である場合、誰がいつ入退室しているかの管理ができないため、個人別のパスワードを設定できる対策を考案するとよいでしょう。

内部規程等の作成

業務上保有している個人情報について、捜査目的のためということで警察から閲覧を求められました。どのように対処したら良いですか？

個人情報の利用及び提供について基本的には、「本人が同意を与えた収集目的の範囲内で行わなければならない」とされていますが、この例外として「法令に基づく場合」や「本人または公衆の生命､健康、財産などの重大な利益を保護するために必要な場合」等が定められています。
質問の警察からの要請が、前述の例外にあたるかどうかを判断する必要がありますが、たとえば、警察からの要請が刑事訴訟法218条1項に規定される「令状による捜査」に基づく強制力を有するものである場合には、それに応じる必要があります。

個人情報を取扱う部屋を含め社内清掃を外部業者に委託していますが、この業者と機密保持契約を結ぶ必要がありますか？

個人情報を取扱う作業領域に、個人情報を直接には取扱わない者が立ち入る状況において、個人情報がそのことによって何らかのリスクに晒されるならば、その業者等との機密保持契約の締結などが必要になると思われます。

苦情相談窓口の受付フォームとして、どのような項目を入れておけば良いですか？

苦情相談窓口で苦情内容を記録する場合には、苦情受付日、相談内容、対応日付、対応内容、受付担当者名及び対応担当者名等を記録できるようにするとよいと思われます。

直接、個人から個人情報を集めることがない場合でも、苦情相談窓口は、設置しなければなりませんか？

個人からの苦情等には、従業員からの苦情も含まれますので、相談窓口は必ず設置しなければなりません。

短期雇用契約書等に利用目的を明示する必要がありますか？

個人情報には従業者の情報も含みますので、短期雇用契約書等に利用目的を明示する必要があります。

社員証を作成する場合（会社名・会社住所・部署・氏名・社員番号を記載）、社員の同意を得る必要がありますか？

事業者として、従業員の個人情報を「利用」することになりますので、事前に、従業員に告知した個人情報の利用目的に含まれていなければなりません。一般的には、「従業員個人情報の利用目的について」というような通知書を従業員に渡し、同時に従業員からは会社に対する秘密保持（個人情報も秘密情報）の誓約書を提出させています。

全社員のメールアドレスを一覧表（部署、役職、氏名、メールアドレス）に作成し、全社員が閲覧できるようにする場合、全社員の同意が必要ですか？

従業員個人情報の利用目的をすべて書き出した文書を、従業員に明示しているのであれば、改めて同意を取り直す必要はありません。事業者には、従業員等の個人情報を「安全に管理」する義務がありますので、メールアドレス一覧の適切な安全管理のためには一定のアクセス制限をかける必要があるでしょう。

利用目的の通知や公表には、どのような方法がありますか？

「公表」とは、自己の意思を国民一般その他不特定多数の人々が知ることができるように発表することを言います。ただし、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければなりません。インターネットが普及している現代では、ホームページのトップ画面からワンクリックの操作で表示される場所への掲載等が一般的です。

ホームページに「お問い合わせフォーム」があり、個人情報の取得が出来ます。この場合、プライバシーポリシーを公表しておく必要がありますか？

プライバシーマークでは、ホームページでの個人情報の取得にかかわりなく、個人情報保護方針を文書化し、一般の人が入手可能な措置を講じることが求められています。

全社員の緊急連絡先を管理するため、社員名簿を各部門へ送付し、各部門でまとめて返信してもらうつもりですが、注意すべきことを教えてください。

社員情報を直接取得しようとしているのですから、社員本人にJISQ15001 A.3.4.2.5 a)〜h)の事項をあらかじめ書面によって明示し、本人の同意を得なければなりません。そして、緊急連絡先リストは「個人情報」であるので適切で安全な管理をしなければなりません。また、個人情報の漏洩を防ぐ意味からも社員全員から秘密保持誓約書を提出してもらう必要があります。

アルバイト・パートの募集時に履歴書を提出してもらっていますが、その取扱いの注意すべきことを教えてください。

個人情報を本人から直接書面によって取得したことになりますので、JISQ15001 A.3.4.2.5 a)〜h)の事項をあらかじめ書面によって明示し、本人の同意を得なければなりません。 また、採否決定後の履歴書（個人情報）を保持するのであれば、個人情報として管理・取り扱いが必要です。返却あるいは焼却してしまえば管理は必要ありませんが、どの場合も管理者を決めて確実な管理をすることが必要になります。

「本人の同意」について、具体的に教えてください。

「本人の同意」とは、個人情報の取扱いに関する情報を与えられた上で、自己に関する情報の取扱いについて承諾する意思表示をいいます。例えば、本人による同意する旨のウェブ画面上のボタンのクリックなどが該当します。

直接書面によって取得する場合と直接書面以外の方法によって取得した場合についてそれぞれ具体的に教えてください。

直接書面によって取得する場合とは、申込書・契約書やアンケートに記載された個人情報を本人から直接取得する場合が該当します。これに対し、直接書面以外の方法によって取得した場合とは、委託を受けた場合、第三者として提供を受けた場合、公開情報から取得した場合、口頭によって取得した場合などが該当します。

個人情報の利用目的を通知する場合、口頭で行っても構わないですか？

直接書面以外の方法によって取得した場合には、口頭でもかまいません。

個人情報の利用目的を通知する時期について教えてください。

基本的には、あらかじめ通知・公表しておくことが望ましいとされています。

直接書面により個人情報を取得する場合の告知文に、個人情報の取扱期間も明記する必要がありますか？

個人情報の保有期間を明示することは義務づけられてはいません。

Stage３　運用について

教育の実施

個人情報保護に関する教育を行う対象範囲とは？

自社に所属する役員及び従業員に教育を行わなければならない、と定められており、この場合の従業員には正社員のみならず、パート・アルバイトや派遣労働者も含まれます。

教育計画書はどのように作ったら良いですか？

教育は、必要な知識を効率的に、かつ短時間で身に付けてもらうためのものとなります。そのことを意識しながら、カリキュラム、教育内容及び教育テキスト等の準備をすることが大切です。そこで、教育計画書には、責任者、研修名、開催日時、実施期限、場所、講師、受講対象者及び予定参加者数、研修の概要、使用テキスト、結果の評価方法などを記載しておく必要があるでしょう。

営業担当者等社内にいる時間が少ない社員に対しては、どのように教育をしたら良いですか？

教育は必ずしも集合教育で行う必要はありません。E-Learning(ウェブベーストレーニングなど)やビデオ教材等を活用して個別に教育を行ってもかまいません。

教育を実施した場合の記録とは、どのように作成しておけば良いですか？

教育記録については、教育受講を確実にするために、また、理解度の度合いに応じたフォローアップの教育の実施をするために全従業員の教育参加記録をとり、さらに、各教育コースを受講した際の理解度等を確認するための記録を残しておく必要があります。

教育は取締役や監査役も受ける必要がありますか？

教育は役職員を含め全員が受ける必要があります。
ただし、監査役は取締役等業務執行者の指揮命令を受けないため強制することはできず、監査役が教育を受けていなくても不適合ではありません。

教育は何のためにするのですか？

プライバシーマーク取得時には、個人情報保護マネジメントシステムの確立と運用が求められます。教育はマネジメントシステムの運用の一部として必要なのです。

教育の内容は具体的にどんなことですか？

教育では、①個人情報保護方針（内部向け個人情報保護方針及び外部向け個人情報保護方針）
②個人情報保護マネジメントシステムに適合することの重要性及び利点
③個人情報保護マネジメントシステムに適合するための役割及び責任
④個人情報マネジメントシステムに違反した際に予想される結果の4つを従業者に理解させる必要があります。

教育の一連の流れはどのようになっているのですか？

まず初めに教育計画の策定が必要になります。次に、教育計画に基づいて、実際に教育を行います。最後は、実施した教育の結果を記録し、保管しておきます。その後、各種の見直し等に応じて、再度計画を見直し、策定していくという流れを繰り返します。

運用の開始

個人情報保護法では、6ヶ月以内に消去するものは保有個人データに該当しないとあります。6ヶ月以内に消去するものは、保有個人データからも除かれますか？

JISQ15001では、6ヶ月以内に消去する場合でも"保有個人データと同様に取り扱わなければならない"とされ、開示等の請求等に応じなければなりません。

社内資格一覧や教育・訓練実施報告書等をメールでやり取りしたり、紙面で保管する場合はどのような注意が必要でしょうか？

社内資格一覧や教育・訓練実施報告書等は個人情報に該当しますので、一定の安全管理をしなければなりません。メールでやりとりする際は、パスワード付きのファイルで送信するか、暗号化を実施するなどの対応が考えられます。紙での管理の場合は、原則、鍵のかかる保管庫で管理することが必要です。

個人情報に関係する業務委託をする場合、その業務委託契約書の中に「秘密保持」と「個人情報保護」の条文を含んでいるオールインワンの契約方法でも構いませんか？

業務委託契約書を締結する際に、条文の中に「秘密保持」と「個人情報保護」の条文を入れる事でガイドライン、あるいはJISQ15001等での委託時の義務規程の内容を満たすことが可能であれば問題はありません。

名刺交換の際いただいたメールアドレスに案内状などを送ってもいいのですか？

名刺交換＝ダイレクトメール発送目的とは言いがたいと考えられます。名刺交換時に、DM発送などの目的を告げるようにしてください。

カード会社から従業員について問合せがあった場合、本人の許可がなくても回答して良いのですか？

個人情報の利用及び提供について、「本人が同意を与えた利用目的の範囲内で行わなければならない」と法定されていますので、カード会社への情報提供が、本人が同意を与えた利用目的の範囲内に入っていない限り、本人の同意を得ずに回答することはできません。

タブレットや携帯電話（カメラとか外部メモリ搭載機能付）などの社内持込みはダメですか？

個人情報漏洩等を防ぐ意味から、外部の記憶情報媒体を社内へ自由に持ち込める状態は決して好ましくありません。それ故、私有のPC、タブレット、携帯電話、CD及びUSB等の使用については、社内の情報セキュリティ保護の観点からよく検討する必要があります。

私有パソコンの持ち込みそのものを禁止すべきですか？

個人情報の漏洩を防ぐため私有パソコンの社内持ち込み禁止及び社内使用PCの社外持ち出し禁止等を定めることも有効な手段となります。どのような対策を講じるかは、それぞれの業態で異なりますので、社員の意見を参考にしながらプロジェクト内で十分検討することが大切です。

注文を受けた商品の配送のために、宅配業者に個人情報を渡す場合、どのような運用をすべきですか？

業務委託先会社が個人情報を適切に運用管理しているかどうか確認する必要があります。そのため個人情報委託先選定基準を確立するとともに、業務委託先会社から個人情報保護に関する報告書（少なくとも年1回）を提出してもらう必要があります。また、「個人情報」に関する条項を盛り込んだ契約書を締結します。

個人情報保護に関する業務で残業する場合、個人情報保護管理者（CPO）から残業の承認を得る必要がありますか？

個々の社員の残業申請及びその承認については、人事管理の問題であり、社員が所属する上長等にその権限が委ねられています。それ故、個人情報保護に関する業務で残業する場合であっても、所属上長の承認を得て行いましょう。

社内でのセキュリティエリアを設定すべきですか。

費用、スペースの問題、運用の容易さ及び効果等を総合的に検討し、実行可能な個人情報保護マネジメントシステムを構築することが最も重要です。これを踏まえて、セキュリティエリアを設定するかどうか検討したほうが良いでしょう。

データ化した個人情報を廃棄する場合の措置として正しい方法はありますか。

個人情報が記録された媒体のデータの完全消去（例えば、意味のないデータを媒体に１回又は複数回上書きする。）や個人情報が記録された媒体の物理的な破壊（例えば、シュレッダー、メディアシュレッダー等で破壊する。）を行うとよいでしょう。

個人情報保護監査責任者に社内の監査役を任命することは問題ありますか。

監査役は取締役等の職務執行を監査する権限が与えられており、監査役が監査される側の職務に就くことは、会社法の規定に反することになります。

よく“文書化”しなければならない、とありますが文書化とは紙に出力し保管することですか。

JISQ15001:2017では、個人情報保護方針、内部規程、計画書及び個人情報保護マネジメントシステムを実施する上で必要と判断した記録は、文書化しておき、かつ、書面で記述しなければならないとされています。ここでいう書面とは、必ずしも紙媒体での書面に記録されている必要はなく、電子的方式または電磁的方式で作られる記録も含まれるとされています。

業務の中で個人情報を取り扱うことは稀だが皆無ではない、というメンバーがいます。このような場合に個人情報管理者/個人情報担当者として特に配慮すべきことは ありますか？

稀にしか個人情報を取扱わないからといって、JISQ15001で課せられている義務と責任が軽減されるわけではありません。稀にしか扱わない故に、取扱手順等を忘れたり、規程に反した扱いをしがちになる場合がありますので、個人情報管理者は、個人情報取扱フロー等で必ず確認するよう指導することを心掛けましょう。

運用の点検・改善

監査は、現場単位での自主的な内部監査でも良いですか？

個人情報保護監査責任者は、個人情報保護管理者から独立した、公平かつ客観的な立場にあることが求められており、被監査部門から独立した立場にある者が監査を行う必要があり、個人情報を取扱っている各事業部等による自主的な内部監査をするのは差し支えはありませんが、それのみで監査をしたことにすることは認められません。

個人情報保護監査責任者は、どのような立場にあることが必要ですか？

代表者によって事業者の内部の者から指名された者であって、公平、かつ、客観的な立場にあり、監査の実施及び報告を行う責任及び権限を有する者、とされています。

監査とは具体的にはどのようなことをするのですか？

プライバシーマーク制度では、個人情報保護マネジメントシステムのJISQ15001：2017の要求事項への適合状況及び個人情報保護マネジメントシステムの運用状況、の２つの観点から監査が行われなくてはならない、とされています。

監査報告書の記載項目を教えてください。

監査報告書では、少なくとも監査の実施状況、指摘事項、改善すべき事項が記載されていることが必要です。

業務委託先がプライバシーマークを取得していません。このまま委託を続けていても問題ありませんか？

JISQ15001：2017では、プライバシーマーク取得会社は、個人情報の取扱いの全部または一部を委託する場合は、委託する個人情報の安全管理が図られるよう、委託を受けた者に対する必要、かつ、適切な監督を行わなければならない、と定められていますので、業務委託先の個人情報保護状況を調査し、委託先選定基準に沿って再評価する必要があると思われます。その上で委託を続けるか否か判断したほうが良いでしょう。

業務委託先が個人情報を漏洩してしまった場合は、契約をやめるべきでしょうか？

個人情報漏洩の原因及びその改善処置について報告書を提出させるとともに、業務委託契約書に基づき、対応策を検討する必要があります。

内部監査はどのくらいの頻度で行えば良いのでしょうか？

自社で定めた個人情報保護監査規程に従いますが、少なくとも年1回は、全社内の監査を実施しなければなりません。

個人情報保護監査責任者が監査員を選任する場合、注意するべき点は？

監査を実施する監査員には、力量があり、公平かつ客観的に行える立場にある者を選任します。

監査報告書は、個人情報保護管理者（CPO）の承認を得るべきですか？

個人情報保護監査責任者は、監査報告書を作成して会社の代表者に報告しなければならない、と定められていますので、個人情報保護管理者の承認等は一切必要ありません。

監査を実施する場合、どのくらいの規模を単位として行えばよいですか。

会社の規模（支店、営業所及び工場等が存する場合）、従業員数によっては、同一期日に全社一斉に監査を行うことが不可能な場合もあるでしょうから、支店や部門毎に順番を決めて監査するなどそれぞれの会社実態に合わせて実施することとなるでしょう。ただし、少なくとも全社的に年1回は、監査が実施されなければなりません。

個人情報保護監査の流れは？

監査の計画及び実施、結果の報告並びに記録の保持を定期的に行わなければなりません。

監査計画書には、何を記載するのですか。

責任者、監査員、監査テーマ、監査対象、目的、範囲、手続、スケジュール、実施期限、結果の評価方法などを記載します。

個人情報保護監査責任者は、自部門を監査する権限はありますか。

個人情報保護監査規程等には、監査責任者及び監査員は、当該本人が所属する部門を監査することができない旨、規定しておかなければなりませんので、自部門を監査する権限はありません。

監査チェックリストを作成する必要はありますか。

JISQ15001:2017は、監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順を確立し、かつ、維持しなければならないと定めていますので、監査の都度、監査項目を定めて実施する必要があります。

監査の実施は、抜き打ちで行ったほうがいいのでしょうか。

監査は、全社員が個人情報保護マネジメントシステムを適切に運用しているか否かを確認する作業となりますが、監査を抜き打ちで行うか、事前に周知して行うかは、会社の代表者等と十分検討した上で決定したほうが良いと思われます。

人事異動で別部署に異動するメンバーがいます。業務上取り扱う個人情報管理において個人情報管理者が特に気をつけるべきことは何でしょうか。

部署によっては、個人情報の取得方法から廃棄までの手順等が異なる場合もありますので、各部署で策定している個人情報保護の業務フロー等の教育を行い、個人情報を安全かつ適切に運用できるよう指導する必要があります。

部署内で取り扱いに十分な注意を払われていない個人情報があることに気付きました。部署の個人情報責任者としてはどのような対応が必要ですか。

日常業務を遂行する中で、個人情報が適切に管理・運用されているかどうか注意を払うことが最も大切であり、不適切な扱いが露見した場合、個人情報保護規程に基づき是正処置を実施する必要があります。

業務上取り扱う個人情報の内容は変わりませんが、新規個人情報が大幅に増えました。このような場合に部門の個人情報管理者や個人情報担当者として特に注意すべきことを教えて下さい。

各部門または部署等で管理している個人情報管理台帳の記録の更新を行い、個人情報保護管理責任者へ報告する必要があります。

Stage４　申請・審査について

付与機関等へ申請

プライバシーマーク認定申請を途中で取り下げた場合、申請料は返金されますか？

プライバシーマーク付与に関する規約第5条2項により、いったん納付した申請料については、返還を請求できないことになっています。

申請は郵送でも良いのですか？

申請は、郵送または持参いずれの方法でも可能です。

申請までにどのくらいのマネジメントシステム試行運用期間が必要ですか？

プライバシーマーク認定申請に際しては、全社で個人情報保護マネジメントシステムの計画・実行・監査・見直しのサイクルを実施していることが必要です。

申請書類は何部提出しますか？

１部のみ提出することになっています。

申請してから現地調査までどのくらいかかりますか？

申請から審査までの時間は、申請した認定指定機関によっても異なりますが、おおよそ2〜5ヶ月くらいのようです。

文書審査・現地審査

現地審査に来訪する、審査員は何人位なのでしょうか？

2〜3人です。基本的には審査リーダー1名、審査員1名の2名で現地調査するケースが多いようです。

現地審査では事業者以外、例えばコンサルティング会社の方などの同席は許されるのでしょうか？

事業者以外の方の審査への同席は許されません。

現地審査の時、昼食などの用意はしておくべきでしょうか？

プライバシーマーク付与認定審査という業務の性格上、昼食、お土産等については禁止です。

現地審査では、申請書類の準備はどうすればいいのでしょうか？

事前に提出した申請書類は最低限しか審査員の方は持参されませんので、当日、審査員が参照できるように、最新の状態の個人情報マネジメントシステム（ＰＭＳ）文書を最低１部以上は用意する必要があります。また、申請後に訂正した場合は事前にラインマーカーなどでわかるようにしておくと即答しやすくなります。

現地審査の時、事前に受取った指摘事項をどう説明すればいいですか？

文書審査で指摘された事項の対応を表にまとめて2部用意しておきます。また、指摘箇所の規程などは付箋などを付けてすぐに答えられるようにしておくとスムーズです。

現地審査のとき、実際の署名、捺印のある契約書などはサンプルとしてどれくらい用意しておけば良いでしょうか？

基本的には全て必要ですが、最低3部以上は用意しておくべきです。

現地審査は何時間くらいかかりますか？

基本的にですが、約5時間〜8時間です。代表者、関係者挨拶、インタビュー（20分）、個人情報の取り組み状況確認・質疑（150分）、現場での運用状況の確認・質疑90分）、文書審査についての確認（25分）、総評（15分）などとなっています。

現地審査での「代表者へのインタビュー」とはどのようなものですか？

個人情報保護の目的、個人情報保護への取り組み、保護の体制、マネジメントレビュー他について、代表者の考えが訊かれます。

現地審査での「個人情報の取り組み状況確認・質疑」とはどのようなものですか？

事業内容、取扱う個人情報の流れ（収集・利用・保管・外部委託・廃棄・返却等）について、個人情報保護管理者（ＣＰＯ）を中心に確認・質疑が行われます。

現地審査での「現場での運用状況の確認・質疑」とはどのようなものですか？

個人情報保護マネジメントシステム（ＰＭＳ）に基づく運用が行われているか、記録類の確認と合わせ、運用状況（特に安全対策等）の確認が行われます。

現地審査では、各種記録の確認はどれくらいのレベルですか？

各種記録類（教育実施記録、入退室管理表、データ授受ほか）日付、押印、記録内容を含め全て確認されます。

現地審査ではＰＭＳ以外で聞かれることはありますか？

まず初めに、会社の事業内容、組織などを聞かれることが多いようです。事業内容によって個人情報の有無や、業務内容を説明するによる個人情報の流れを理解するためです。

現地審査では審査員の方は誰に質問されますか？

個人情報保護管理者（ＣＰＯ）が中心ですが、基本は審査を受けているメンバー全員です。各責任者が答える内容を含めＣＰＯは全て把握しておく必要性があります。また、審査を受けているメンバーだけでなく他の社員（執務をしている方）にサンプル的に質問されることも多いようです。

現地審査ではどこまで事務所の調査をされるのですか？

基本的には審査員が要求された場合は全てですので、サーバールーム等も対象となります。

現地審査前の確認書とはどのようなものですか？

プライバシーマークの現地審査を行う前に、受審者は審査員への回答等が事実であること、審査者は審査上で知りえた秘密・個人情報を他に漏らさないことを署名捺印にて確認を行います。

現地審査終了後はどうなるのでしょうか？

状況によって違いますが、問題が無ければ認定段階へ進みます。現地調査後の指摘事項がある場合は書面にて不適合が送られてきます。指摘事項の改善報告書を提出し再審査を受けます。

当社は複数の事業所があります。現地審査の場所はどのように選択されますか？

現地審査の場所は、個人情報を最も多く取扱っている場所、個人情報保護の観点から、一番リスクの高い場所であることを基準に、審査員と申請事業者との調整によって決定されます。また、取扱っている個人情報の内容によっては、複数個所を審査する場合もあるようです。なお、更新申請の場合には、個人情報を取り扱っている事務所のうち、前回現地審査の対象とされなかった事業所を優先して審査の対象とするようです。

本審査で不合格となることはありますか？

プライバシーマーク制度委員会では、JISQ15001：2017の要求事項に沿って審議され、個人情報保護マネジメントシステム体制等も含め総合的に判断された結果、不合格になる可能性もあります。

現地審査ではどこまでチェックされるのですか？机の中まで見るのでしょうか？

基本的に、審査員に要求された場合は全て対象となります。

現地審査のフォローアップ

改善報告書の提出はいつまでですか？

指摘を受けてから3ヶ月以内となります。3ヶ月以内に改善報告書の提出が無い場合は再審査の請求がなかったものとみなされ、審査打ち切りとなります。（最初からやり直しとなりますので注意してください）

改善報告書はメール添付で大丈夫ですか？

改善報告書は配達記録が残る手段で紙媒体で送付しなければなりません。

指摘事項の回答のポイントとは？

①不適合となった原因を記述する。
②原因を除去するために講じた是正処置を記述する。
③是正処置の効果（その是正処置により不適合が除去されたか）を記述する。
④不適合が除去されたこと及び是正処置を講じたことを証明するものを添付する。

指摘事項の内容で不明な点があるのですが、審査員への問い合わせは可能でしょうか？

基本的には、審査リーダー又は審査員の方にメールによる問い合わせは可能です。

審査で改善の指摘を受けましたが、それに対応するには数ヶ月間かかりそうです。この場合どうしたら良いでしょうか？

文書審査及び現地審査においては、審査の過程で個人情報保護マネジメントシステムの不備があった場合、その補正や運用状況の改善などの指摘がされます。指摘事項を補正するまでは審査は中断しますので、指摘を受けたときには、指摘に従って速やかに改善を行う必要があります。なお、指摘事項への対応が相当期間を過ぎても完了しない場合には、審査不合格となる場合があるようです。