2025年4月11日
Pマークの審査に落ちることってあるの?
Pマークの審査は、企業の個人情報保護体制を評価する重要なプロセスですが、「落ちる」というイメージをお持ちの方もいるかもしれません。 実際には、単なる合否判定ではなく不適合事項に対して改善の機会が与えられるのが一般的ですが […]
Pマーク「マネジメントレビュー」の作り方をわかりやすく解説
2025年6月18日
Pマークで行うマネジメントレビューとは、社内の個人情報保護マネジメントシステムの運用結果(内部監査や利害関係者からのフィードバック)をトップマネジメントへ報告、成果や問題点の分析を実施、トップマネジメントからアウトプットを出し、改善活動を行うことを指します。Pマークでは最低でも年に1回適宜実施することを求められています。
目次
Close
ISO/Pマークの認証・運用更新を180時間も削減!
認証率100%の認証パートナーが無料問い合わせを受付中!
認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。
経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。
▼認証パートナーが削減できること(一例)- マニュアルの作成・見直し:30時間→0.5時間
- 内部監査の計画・実施:20時間→2時間
- 審査資料の準備:20時間→0.5時間
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
1.マネジメントレビュー要求事項と大まかな概要
マネジメントレビューとは組織における個人情報保護マネジメントシステム(個人情報を管理する仕組み)をトップマネジメントが見直す活動になります。
トップマネジメントに個人情報に関する報告(インプット)を行い、トップマネジメントが指示を出します。(アウトプット)
個人情報に関する報告(インプット)には以下の情報を考慮に入れるようにPマークで求められており、インプット内容は個人情報管理者やPマーク担当者が中心となり情報収集をします。
(1)インプット内容
- 前回までのマネジメントレビューの結果、とった処置の状況
- 個人情報保護マネジメントシステムに関連する外部及び内部の課題の変化
- 利害関係者のニーズ及び機体の変化
- 次に示す傾向を含めた、個人情報保護パフォーマンスに関するフィードバック
- 不適合及び是正処置
- 監視及び測定の結果
- 監査結果
- 個人情報保護目的の達成
- 利害関係者からのフィードバック
- リスクアセスメントの結果及びリスク対応計画の状況
- 継続的改善の機会
トップマネジメントが出す指示(アウトプット)には以下の内容を含めることが求められています。
(2)アウトプット内容
- 継続的改善の機会
- 個人情報保護マネジメントシステムのあらゆる変更の必要性に関する決定
2.マネジメントレビューの役割
マネジメントレビューの役割は、トップマネジメントによる「意思決定」です。
そのため、個人情報保護マネジメントシステムを適切に運用していくために必要な「ヒト・モノ・カネ」に関する内容がつきものです。
鍵付きキャビネットを購入したいが担当者では判断ができないといった場合に、トップマネジメントの意思決定が必要になります。トップマネジメントが購入に必要な情報をインプット・適切なアウトプットを行うために、マネジメントレビューが重要な役割を担うことになります。
現場の改善を行う場合、適切な判断をトップマネジメントが行うためにはインプット項目は具体的、かつ詳細に伝えなければなりません。
またトップマネジメントのアウトプットも忘れてしまわないように文書化し保持しなければなりません。
3.マネジメントレビューは「運用において必須の記録」
Pマーク運用をしていくうえで、マネジメントレビューの記録作成が必須となります。
マネジメントレビューの記録を含め、Pマークでは最低限以下の記録類の作成、更新、保持を求めてます。
- 個人情報管理台帳
- 組織の個人情報の一覧となるもので、取得方法や保管方法等の記載が必須となります。
- 法令一覧表
- 業務に関わる個人情報に関する法令、ガイドラインを閲覧できるように、特定します。
- リスク分析
- 個人情報管理台帳に記載の個人情報の取り扱いに関して個人情報保護リスクを特定し、分析し、対策を講じなければなりません。
- 委託先の記録
- 個人情報を委託している会社に対し、適切に個人情報を管理しているか評価しなければなりません。評価した記録が残っているか、適切な契約を交わしているかチェックします。
- 認識/教育
- Pマークでは個人情報に関する教育を最低年1回以上実施するよう求められています。教育の内容に含めなければならない項目があるため、注意が必要です。
- 運用の確認結果
- 個人情報保護マネジメントシステムが適切に運用されているか、部門及び階層において定期的なチェックを行います。
- 内部監査
- 社内の個人情報保護マネジメントシステムにおける適合状況、運用状況をチェックするための計画、結果が必要になります。
- マネジメントレビュー議事録
- 社内の個人情報保護マネジメントシステムがうまく機能しているかトップマネジメントに報告する必要があります。インプット・アウトプット事項を文書化することが求められています。
- 是正処置の結果
- 内部監査での指摘事項や、情報漏洩事故を起こしてしまった場合になぜ起こったのか、どのように対応していくかを記録する必要があります。
マネジメントレビューの記録が残っていない場合、審査が打ち切りになる可能性もあるので気をつけましょう。
4.Pマーク審査時に見られるポイント
Pマークの審査では以下3つの項目がチェックされます。
- マネジメントレビューを実施した記録が直近1年間以上保管されているか
- 規格要求事項(本コラム1.マネジメントレビュー要求事項と大まかな概要で紹介したインプットアウトプット)の記載があるか
- インプットやアウトプットが適切に記載されているか
本コラムの1に記載しているとおり、インプット項目、アウトプット項目が決まっているため、事前にチェックすると良いでしょう。
5.マネジメントレビューの書き方(記載例)
一つの例ですが、マネジメントレビューの結果を以下のように記載している企業が多いです。
(1)インプット例
1. 前回までのマネジメントレビューの結果と処置の状況
前回のマネジメントレビューで指摘された事項に対して、以下の対応を実施
指摘事項:「〇〇に関する対応が不十分」
対応内容:〇〇手順書を見直し、社内ポータルにて全従業者に展開・周知済み
すべての是正処置について、実施・完了報告を確認済みであり、効果も一定確認されている
2. 外部及び内部の課題の変化(個人情報保護マネジメントシステム関連)
外部課題:法令の一部改正に伴い、社内報を通じて変更点を周知。顧客との会議では「メール誤送信リスク」への懸念があり、防止ツール導入の要あり。
内部課題:新業務(〇〇)の開始により、新たに取り扱う個人情報を個人情報管理台帳に特定し、リスク分析を実施。対策として関係者に個別説明・周知を実行。
3.利害関係者のニーズ及び期待の変化
顧客からの期待: 主要顧客から、メール誤送信防止に関する対策強化の要望が寄せられている。これは、クラウドツールの利用拡大に伴い、顧客側も情報セキュリティへの懸念が高まっていることを示唆してる。
従業員からの期待: 従業員からは、SNS利用における情報拡散リスクへの懸念が示されており、これに対する勉強会開催への期待が高まっている。これは、個人が情報発信する機会が増え、従業員自身がセキュリティリスクに対する意識を高め、適切に対応したいというニーズの表れと考えられる。
規制当局からの期待: 法令改正に伴い、個人情報保護に関する規制の順守は引き続き重要な期待事項です。
4. 個人情報保護パフォーマンスに関するフィードバック
リモートワーク環境下でのクラウドツール利用が増加。利便性やコスト、セキュリティを総合的に評価し、新ツールへ移行済み。
情報漏えい等のインシデントは発生していないが、従業員からはSNS投稿の危険性について懸念の声が挙がっており、対策として勉強会の実施が検討されている。
5. 不適合及び是正処置
内部監査において、個人情報を保管しているキャビネットが施錠できないという不適合が1件指摘。
是正処置として、該当設備の修繕を実施し、施錠管理ルールも再通知。
6. 監視及び測定の結果
情報セキュリティ教育の受講率は100%を維持
苦情・インシデント報告件数は0件
リスク評価の再点検により、高リスク案件は前回比で1件減少。
7. 監査結果
内部監査の結果、不適合は1件(施錠不備)。是正措置済み。
それ以外は手順遵守が確認され、有効に運用されていると評価。
8. 個人情報保護目的の達成
設定した個人情報保護目的(例:誤送信ゼロ、教育受講率100%等)は、全て目標達成済み。
今後はメール誤送信対策の技術的支援を充実させる方向で検討中。
9. 利害関係者からのフィードバック
主要顧客からは、メール誤送信防止に関する対策の要望あり。
従業員からは、SNS利用に関するリスク認識の共有を目的とした勉強会開催の要望あり。
10. リスクアセスメントの結果及びリスク対応計画の状況
新規業務に関連した個人情報のリスク評価を実施。管理策を見直し、全従業員への周知を完了。
定期リスク評価では、重要リスクの対応計画が順調に進行中であることを確認。
11. 継続的改善の機会
SNSによる情報拡散リスクに関する対応として、勉強会・ポリシー再周知を継続的改善の一環として実施予定。
リモートワーク環境の変化を踏まえ、クラウドサービスの安全性評価を定期的に見直していく方針。
(2)アウトプット例
1.継続的改善の機会
内部監査で発見された不適合に関して、鍵付きキャビネットを購入し書類を保管すること。
購入計画や時期などは別途計画を立てトップマネジメントの承認を得ること。
2.個人情報保護マネジメントシステムのあらゆる変更の必要性
新しい業務を開始し発生する個人情報の取り扱いが適切に行われているか、年2回以上内部監査を実施し確認を行うこと。
まとめ
Pマークのマネジメントレビューでは社内の個人情報保護マネジメントシステムの運用結果(内部監査や利害関係者からのフィードバック)をトップマネジメントへ報告し、成果や問題点を分析し、トップマネジメントからアウトプットを出し改善活動を行うことを指します。
トップマネジメントにインプットする内容はPマークの要求事項で決められている内容は最低限必須となり審査でもチェックされます。
トップマネジメントへの報告は会議の場が多く、その際にトップマネジメントにアウトプットしてもらうことが必須です。
ISO/Pマークの認証・運用更新を180時間も削減!
認証率100%の認証パートナーが無料問い合わせを受付中!
認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。
経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。
▼認証パートナーが削減できること(一例)- マニュアルの作成・見直し:30時間→0.5時間
- 内部監査の計画・実施:20時間→2時間
- 審査資料の準備:20時間→0.5時間
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
Pマーク(プライバシーマーク)・ISOの認証・更新も安心
認証率100% ✕ 運用の手間を180時間カット!
信頼の「認証パートナー」が無料相談を受付中!
一目でわかる
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・一目でわかる『費用』
- ・一目でわかる『取得スケジュール』
- ・一目でわかる『サポート内容』
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ
- © 2022 Three A Consulting Co., Ltd.