プライバシーマーク(Pマーク)のためのPMS運用とは？要求されていることは？

１．プライバシーマーク（Pマーク）とは

プライバシーマーク（Pマーク）とは、個人情報保護体制に関する認証制度です。

日本産業規格である「JIS Q 15001個人情報保護マネジメントシステム－要求事項」で何をしなければならないのかが記載されています。
その内容に則り、個人情報について適切な保護をとる体制を整備していく必要があり、その活動を審査されます。プライバシーマークが付与されることで、体制が整っていることを示すことが出来ます。

Pマークの基本情報、目的について詳しくはこちらの記事をご覧ください。

あわせて読みたい記事

Pマークとは？プライバシーマークの基本から取得要件までわかる

「Pマークとは何？」 そんな素朴な疑問を調べているところかもしれません。 Pマークとは「プライバシーマーク」の略称で、一般財団法人日本情報経済社会推進協会（JIPDEC）が付与する、個人情報を取り扱う…

２．個人情報保護マネジメントシステム（PMS）とは？

PMSとは、個人情報保護マネジメントシステムのことで、Personal Information Protection Management Systemsを翻訳したものです。
頭文字をとって、通称PMSと呼ばれています。

このマネジメントシステムでは、PDCAサイクルを回すことにより、個人情報保護の体制強化や個人情報の漏洩防止を図ることが出来ます。

例えば、組織内でどのような個人情報の取り扱いがあるのか洗い出しを行い、それぞれの個人情報の取り扱いにどのようなリスクがあるのかを特定します。
特定したものが実態と相違がないかチェックを行い、マネジメントレビューを行うことによって、個人情報を扱う際のリスク対策をすることが出来ます。

３． プライバシーマークのPMS運用とは

プライバシーマーク（Pマーク）には運転免許証のように有効期限があります。
2年間が有効期限で、免許証更新のように更新審査があります。
更新審査を受けるためには、継続的にPDCAを回しながら、個人情報保護のためのマネジメントシステム運用が求められます。
これをPMS運用と呼ぶことがあります。

更新審査で見られることは個人情報保護に向けてPMS運用ができているかどうかです。
具体的に更新審査では、2年間の運用ができているかを運用記録を基に見られます。
個人情報の取扱いに問題がないかをチェックされます。

近年、個人情報保護への関心の高まりもあり、制定・施行された法律・政令を事業者が遵守できているかといった点も審査の対象になっています。
個人でも運転免許証の更新時に前回の免許更新時に以降に制定・施行された道路交通法のアナウンスがあるのと似たようなものです。

また、更新審査を受けたあとには必ず指摘事項文書が届きます。
指摘事項文書の内容は、現地審査での改善事項をまとめたものです。
この指摘事項に対応することで、次からの運用をより良いものにしていきます。

Pマーク更新時の申請、審査の流れについて、詳しくはこちらの記事で解説しております。

あわせて読みたい記事

プライバシーマークの更新でやるべきことを徹底解説

1.プライバシーマークの更新について プライバシーマーク（Pマーク）は、2年ごとの有効期限が設けられており、更新の手続きを怠ると失効してしまうので注意が必要です。 プライバシーマークを更新するためには…

４. プライバシーマークのPMS運用で要求されること

プライバシーマーク（Pマーク）の運用で要求されている事は大きく分けて7つあります。
「個人情報の特定」
「法令、国が定める指針その他の規範」
「リスクアセスメント及びリスク対策」
「委託先の監督」
「認識」
「内部監査」
「マネジメントレビュー」

これらを上から順に計画を立てて実施していくことで運用を行うことができます。

5．プライバシーマーク（Pマーク）運用の４つのポイント

（１）毎年最低1回は個人情報の見直しが必要

新規事業を開始したり、逆に事業を撤退することで取扱う個人情報の種類や量が増減することがあります。
最低でも年1回、管理している個人情報の一覧を見直して管理しなくなったものは削除し新規追加や取扱量の増減の反映をしなければなりません。
ここで最低1回というところがポイントです。
新規事業の開始のタイミングによっては個人情報の見直しが1年先ってこともあるので、そういった場合は随時、管理している個人情報の一覧の更新かけてくださいという意図があります。

（２）個人情報保護法の改訂に伴いマニュアルやルールを変更しなければならない

国に憲法があり法律・政令が従う形であるように、プライバシーマーク（Pマーク）の運用マニュアルやルールは前述した通り制定・施行された法律・政令を反映させて改定していくことになります。
法令を遵守していない個人情報保護のマニュアルやルールを運用したところで意味がない状況になります。
また国や業界団体が個人情報の取扱に関するガイドラインを公布していることもあります。自社に該当するかを確認し必要があれば反映することでより個人情報保護に向けたのマニュアルやルールを作成することができます。

（３）内部監査で適合性のチェックが必要

適合性のチェックとは「JIS Q 15001個人情報保護マネジメントシステム－要求事項」というプライバシーマーク（Pマーク）の運用マニュアルやルールが実際に事業者で作成したマニュアルで満たされているかをチェックするものです。

「JIS Q 15001で要求されているルールが満たされていないと作成したマニュアルやルールに意味がないですよね」ということです。

難しい表現でしたが料理のレシピで考えると簡単かと思います。
史上最高においしいハンバーグを作るためのレシピがあるとします。
更においしいオリジナルのハンバーグをレシピを作る上で、史上最高においしいハンバーグを構成する要素を１つずつ守っているかチェックします。
このチェックで「史上最高においしいハンバーグを構成する要素を守っている」ということが適合という意味です。適合していないハンバーグを作ってもベースが史上最高でないので、そもそも史上最高を超えるレシピにならないということです。

まとめるとオリジナルレシピが史上最高レシピの要素を満たしているかをチェックすることが、自社のマニュアルやルールが「JIS Q 15001個人情報保護マネジメントシステム－要求事項」に適合しているかのチェックすることのイメージです。

（４）代表者への報告が義務付けられている

PDCAを回して最後には必ず代表者へ運用状況を報告します。
理由は個人情報保護にあたってトップがリードして守るような体制を『A.3.2 個人情報保護方針』で宣言する形になっています。そのため運用状況での問題点や内部監査での指摘事項などを良いところ、悪いところを
含めて代表者に報告することで次のPDCAを回す指示が出せるような仕組みになっています。

４．まとめ

プライバシーマーク（Pマーク）は、1度審査に合格にしたから終わりでなく、継続的にPDCAを回しながら個人情報保護のための運用が求められます。
取得後も運用をしながら、関連法令をチェックし常に最新の状態にしたマニュアルやルールでPDCAを回して個人情報保護を高めていきましょう。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。 アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。 認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら
• 見積もり依頼はこちら