プライバシーマークのPMS運用で押さえるべき10の重要項目

Pマークは取得がゴールではなく、取得後も継続的なPMS運用が必要不可欠です。

なぜなら、情報漏洩や不正利用といったリスクは常に変化しており、個人情報保護の体制強化や個人情報の漏洩防止を図るためです。

また、更新審査を受けるためには、継続的にPDCAを回しながらPMS運用を行うことが求められます。

しかし、

「PMS運用って具体的に何をすればいいの？」
「運用を始めたものの、活動が形骸化してしまっている…」
というお悩みを持っている方もいらっしゃるのではないでしょうか？

この記事では、PMS運用で重要な10の項目について簡単に解説いたします。

1.プライバシーマーク（Pマーク）とは

プライバシーマーク（Pマーク）とは、事業者が個人情報保護体制を適切に構築していることを証明する、第三者認証制度です。

この制度は、日本産業規格である「JIS Q 15001　個人情報保護マネジメントシステム－要求事項」に基づいており、事業者はこの規格に沿って個人情報を適切に取り扱うための体制を整備し、その活動が審査されます。

プライバシーマークが付与されることで、企業は個人情報保護に関して高い意識と能力を持っていることを社会的に示すことができ、顧客や取引先からの信頼獲得につながります。

Pマークの基本情報、目的について詳しくはこちらの記事をご覧ください。

あわせて読みたい記事

Pマークとは？プライバシーマークの基本から取得要件までわかる

「Pマークとは何？」 そんな素朴な疑問を調べているところかもしれません。 Pマークとは「プライバシーマーク」の略称で、一般財団法人日本情報経済社会推進協会（JIPDEC）が付与する、個人情報を取り扱う…

2.PMS（個人情報保護マネジメントシステム）とは？

PMSとは「Personal Information Protection Management Systems」の略称で、個人情報保護マネジメントシステムのことです。
これは、個人情報を保護し安全に管理するための体制を整え、継続的に運用していくための仕組みを指します。Pマークの取得と維持には、このPMSの構築と適切な運用が不可欠です。

PMSの運用は、「計画（Plan）」「実施（Do）」「点検・評価（Check）」「改善（Act）」というPDCAサイクルを回すことで成り立っており、このサイクルを通じて個人情報保護体制を常に改善し続けることが求められます。

Pマークの新規申請や更新を行うためには、以下の条件を満たす必要があります。以下はJIPDECが提供しているプライバシーマーク制度についてのパンフレットからの引用です。

⑴ JIS Q 15001に基づいたPMSを定めていること

⑵PMSに基づき実施可能な体制が整備されており、かつ、個人情報の適切な取扱いが実施されていること

⑶プライバシーマーク制度運営要領に定める欠格事項のいずれかに該当しない事業者であること

出典：JIPDEC「プライバシーマーク制度パンフレット」

PMSを構築した上でPDCAサイクルを1回以上実施し、その運用記録を審査で提示しなければなりません。

3.PMS運用でかかせない10の重要事項

出典：JIPDEC「プライバシーマーク制度パンフレット」をもとに作成

Pマークの付与後も、2年ごとの更新審査に向けを継続的に運用していく必要があります。

PMSの運用は、PDCAサイクルに基づいており、特に以下の項目が重要となります。

⑴ 個人情報の特定・分類

事業者が取り扱うすべての個人情報を特定し、個人情報管理台帳を作成します。

この台帳には、個人情報の種類（氏名、住所、電話番号など）、取得方法、利用目的、保管場所、保管期間、廃棄方法などを明確に記載します。
これにより、事業者がどのような個人情報をどのように管理しているかを可視化することができます。

個人情報管理台帳の詳しい解説はこちらの記事で解説しています。

あわせて読みたい記事

Pマーク審査に役立つ！個人情報管理台帳のサンプル＆作成のコツ

「どんな流れで個人情報管理台帳を作成すればいいのか？」 「どの範囲まで個人情報を特定すればいいのか？」 Pマーク取得担当の方がつまづくのが、個人情報管理台帳の作成ではないでしょうか。 そこで、この通り…

⑵法令・規範の把握と遵守

Pマークの要求事項である「JIS Q 15001」では、個人情報保護に関する法令、国が定める指針、その他の規範を常に把握し、遵守することが求められています。

具体的には、以下の3つのステップで進めます。

①対象となる法令・規範の特定

まず、自社の事業活動に関連する個人情報保護法、マイナンバー法などの法令や、JIS規格、業界ガイドラインなどを特定します。

②内容の把握と周知

特定した法令・規範の要求事項を正確に理解し、従業員全員に周知徹底します。

③PMSへの反映と見直し

法令・規範の内容変更や改正があった場合は、社内の個人情報保護マニュアルや規程を速やかに見直し、PMSに反映させます。

このように、法令・規範の継続的な把握と遵守は、Pマークの維持だけでなく、情報漏洩などのリスクを未然に防ぐ上で欠かせない活動です。
定期的な内部監査やマネジメントレビューを通じて、遵守状況を常に確認し、個人情報保護体制をより強固なものにしていきましょう。

⑶リスクの分析と対策

個人情報のフロー（取得・入力、利用・加工、保管・バックアップ、移送・送信、消去・廃棄など）を考慮し、それぞれの段階でどのようなリスクが存在するかを洗い出します。

例えば、顧客の名刺を例にどのようなリスクがあるか考えてみましょう。

取得時

営業担当者が名刺を紛失する、不正な方法で名刺情報を取得する。

利用・入力時

名刺情報をPCに入力する際に誤入力する、不必要な項目まで入力する。

保管時

鍵のかかっていない引き出しに名刺を保管し、関係者以外が閲覧してしまう。

次に、洗い出したリスクを評価し、どのリスクが特に重大かを判断します。この評価には、リスクが発生する可能性の高さと、それが事業に与える影響の大きさという2つの観点を用います。

リスクの評価が終わったら、それぞれのリスクに対して具体的な対策を策定し、実行します。

対策は、物理的な対策、技術的な対策、組織的な対策の3つの観点から検討することが大切です。

物理的対策

鍵付きのキャビネットに個人情報が記載された書類を保管する、入退室管理システムを導入する、など。

技術的対策

パスワード付きのファイルで個人情報を共有する、PCにウイルス対策ソフトを導入する、アクセス権限を制限する、など。

組織的対策

個人情報取り扱いに関する社内規程を整備する、従業員に対して定期的な教育を実施する、など。

これらの対策を講じることで、リスクを許容可能なレベルにまで低減させることが目的です。リスクを完全にゼロにすることは難しいですが、適切なリスク分析と対策によって組織の個人情報保護のレベルを向上させることができます。

⑷ 適切な委託先の選定と監督

まず、業務を委託しているすべての企業や個人事業主を洗い出し、「委託先一覧」としてリスト化します。

この一覧には、企業・担当者名、連絡先、委託業務内容などの基本情報を漏れなく記載します。Excelなどのツールを使うと管理がしやすくなります。

次に、委託先を客観的に評価するための「評価表」を作成します。費用、納期、技術力、信頼性といった具体的な項目を評価基準として設定し、自社にとって最適な委託先を選定するためのルールを定めます。評価方法は、自社の状況に合わせて自由に設定できます。

定めた評価基準と方法に基づき、実際に委託先の評価を行います。
訪問やビデオ会議などを活用し、過去の実績、顧客からの評判、業界での評価なども考慮して、取引の妥当性を判断します。評価結果は委託先にも共有しましょう。

また、委託先のウェブサイト等で公開されている規約やポリシーを確認し、情報セキュリティ対策が適切に行われているかを把握することも重要です。

委託先と取引を行う際は、NDA（秘密保持契約書）を締結します。
保護すべき秘密情報（製品、技術、顧客情報など）の範囲を明確に定義し、情報の取り扱い方法、契約期間、違反時の罰則などを具体的に取り決めます。
これにより、情報漏洩のリスクを最小限に抑え、双方の合意のもとで安全に取引を進めることができます。

⑸教育の実施

すべての従業員・関係者が個人情報保護の重要性を理解し、PMSのルールを遵守できるよう、定期的な教育や研修を実施します。
教育の対象者は、正社員だけでなく、パート、アルバイト、派遣社員など、個人情報を取り扱う可能性のあるすべての人員が含まれます。

Pマークの審査基準である「JIS Q 15001」では、教育に含めるべき内容として、以下の4点を明確に定めています。

個人情報保護方針

組織の基本的な個人情報保護の方針を理解させる。

PMSの重要性

PMSの目的と、それが組織にもたらすメリットを認識させる。

各自の役割と責任

従業員それぞれがPMSにおいて果たすべき具体的な役割と責任を明確にする。

違反時の結果

違反が起きた場合に組織と個人が被る可能性のある影響を周知する。

教育の方法には、集合研修、動画コンテンツ、eラーニングなど様々な選択肢があります。自社の状況に合わせて最適な方法を選び、全従業員が確実に受講できるよう計画を立てましょう。

Pマークの維持には、この教育を最低でも年に1回実施することが義務付けられています。

また、教育を行った証拠として、実施計画、教育資料、テスト結果、受講者リストなどを記録・保管しておく必要があります。
これらの記録は、更新審査の際に必ず確認されるため、忘れずに整備しておきましょう。

⑹苦情・相談への対応

Pマークでは、個人情報の本人からの苦情や相談に対し、迅速かつ適切に対応することが義務付けられています。

具体的には、苦情・相談の受付方法、対処、回答手順、再発防止策に至るまで、一連の手順を確立しておく必要があります。
そのため、個人情報の取り扱いに関する窓口を設置し、対応体制を整備することが求められます。

窓口は、電話やメール、ウェブフォームなど、複数の連絡手段を用意しておくと親切です。

また、窓口の責任者には、対応に責任を持てる正社員を任命するのが望ましいでしょう。

⑺事故・違反への対応

Pマークのルールに違反したり、個人情報漏洩などの深刻な事故が発生したりした場合、企業には迅速かつ適切な対応が求められます。

このような事態は、企業の信用力や事業継続に多大な影響を及ぼす可能性があるため、以下の手順での対応が不可欠です。

①違反内容の把握

まず、具体的にどのような違反や事故が起きたのか、その詳細を正確に理解する必要があります。

個人情報が関与しているか、社外に漏洩したのか、その量はどの程度か、そして何が原因であったのかといった情報を把握することで、その後の対応策が大きく変わってきます。

②原因の究明

違反が発生した根本的な原因を特定し、それが再発しないようにするための対策を立案することが求められます。単に原因を特定するだけでなく、具体的な再発防止策を検討する段階です。

③再発防止策の立案と実施

違反が再発しないように、具体的な対策を立案し、実施します。

これには、社内マニュアルの見直しや従業員教育、周知の徹底などが含まれます。
違反を起こした従業員に対しては、違反内容によっては懲戒処分を科すことも、違反行為を抑止し、再発を防ぐための重要な措置です。

また、違反によって個人情報が漏洩した場合は、本人への連絡が必要となります。
これは、本人が自身の情報が漏洩したことを知り、適切な対応を取ることができるようにするためです。

④個人情報保護委員会やPマーク審査機関等への報告

違反が発生したことを公にし、その対応を透明にするための重要な手続きです。

報告には速報と確報の2回実施が必要となります。

速報

発覚日から3日～5日以内

確報

発覚日から30日以内

ただし、漏洩した情報の大小や内容により異なる場合があるため、詳細は個人情報保護委員会や各審査機関のウェブサイトで確認することが推奨されます。

⑻本人からの開示等請求への対応

本人から個人情報の開示、訂正・追加・削除、利用停止・消去、第三者提供停止などの請求があった場合の対応手順を整備し、法令で定められた期限内に適切に対応します。

具体的にはJIS Q 15001に基づき以下の対応が必要です。

請求の窓口

どこで請求を受け付けるのか（部署名、連絡先など）を定めます。

請求方法

請求時に提出してもらう書類の様式や、郵送、メールなどの方法を定めます。

本人確認方法

請求者が本人であるか、または正当な代理人であるかを確認する具体的な方法を定めます。

手数料の徴収方法

手数料を徴収する場合に、その金額や支払い方法を定めます。

⑼内部監査の実施

PMSがJIS Q 15001に適合しているか、また適切に運用されているかを定期的に確認するために、少なくとも年一回及び必要に応じて「内部監査実施計画」を含めて必要な計画を策定することが求められています。

内部監査は、独立した立場の適格な内部監査員が客観的に行い、運用の課題や改善点を発見します。

また内部監査には以下2つの視点があります。

①適合性監査

適合性監査とは自社で定めた個人情報保護のルールや規程が、「JIS Q 15001」に適合しているかを監査することです。

具体的には、事前に作成したチェックリストを用いて、規程の一つひとつを詳細に確認します。

これは、Pマーク申請時に外部機関が行う文書審査と似たプロセスです。

②運用監査

運用監査とは定めたルールが現場で実際に正しく運用されているかをチェックする監査です。各部署を回り、チェックリストに基づいて運用状況を確認します。

一般的に、適合性監査よりも運用監査のほうが不適合が多く発見されがちです。
これは、規程が一度確立されると大きな変更は少ないのに対し、現場では業務の状況や担当者によって運用方法が変わることがあり、知らず知らずのうちにルールから外れてしまうケースが少なくないためです。

⑽マネジメントレビューの実施

Pマークにおけるマネジメントレビューとは、社内のPMSの運用結果をトップマネジメントへ報告し、その成果や問題点を分析する活動を指し、その目的はトップマネジメントによる「意思決定」です。

PMSを適切に運用するために必要な「ヒト・モノ・カネ」に関する意思決定がこれに含まれます。

例えば、鍵付きキャビネットの購入など、担当者では判断できない事項についてトップマネジメントの意思決定が必要となる場面で、マネジメントレビューが重要な役割を果たします。

この活動を通じて、トップマネジメントに個人情報に関する報告（インプット）を行い、トップマネジメントが指示（アウトプット）を出し、改善活動を行います。

マネジメントレビューは、Pマーク運用において「必須の記録」とされており、その記録作成が求められます。

まとめ

PMS（個人情報保護マネジメントシステム）とは、個人情報を保護し安全に管理するための体制を整え、継続的に運用していく仕組みです。

Pマークを取得・維持していくためには、PDCAサイクルを回しながらPMS運用を行う必要があります。

PMS運用を行うために重要な10項目は以下のとおりです。

1. 個人情報の特定・分類
2. 法令・規範の把握と遵守
3. リスクの分析と対策
4. 適切な委託先の選定と監督
5. 教育の実施
6. 苦情・相談への対応
7. 事故・違反への対応
8. 本人からの開示等請求への対応
9. 内部監査の実施
10. マネジメントレビューの実施

Pマークは、一度審査に合格したから終わりでなく、継続的にPDCAを回しながら個人情報保護のための運用が求められます。

ISO/Pマークの認証・運用更新を180時間も削減！
認証率100%の認証パートナーが無料問い合わせを受付中！

認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。

経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。

▼認証パートナーが削減できること(一例)

• マニュアルの作成・見直し：30時間→0.5時間
• 内部監査の計画・実施：20時間→2時間
• 審査資料の準備：20時間→0.5時間

認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

認証パートナーに無料で相談する