- プライバシーマーク(Pマーク)を取得したいが何を満たせばいいのか分からない
- 個人情報の改正により、Pマークの新審査基準が気になる
といった情報システム担当者も多いと思います。
この記事では、2022年4月1日に改正個人情報保護法が施行されたことに伴って大幅に変更された、Pマークの審査基準について解説します。
これからPマークを取得しようとお考えの担当者は「Pマーク取得申請のためにどのように審査基準を満たす必要があるのか」を知って、規定づくりの参考にしていただければと思います。
目次
Pマークの審査基準について
2022年4月1日より改正個人情報保護法が施行されたことに伴い、Pマークの審査基準も大幅に変更されました。
従来(2022年3月まで)は「JIS規格(JIS Q 15001)」および「JIPDECガイドライン」の準拠がPマーク取得の審査基準となっていましたが、2022年4月1日より「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指標(以降、「構築・運用指針」という)」の準拠が基準となります。
そのため、下記のものが「構築・運用指針」の審査基準に対応していなければいけません。
- 申請書類の内容
- 規程類の内容
- 運用状況
また、既にPマークを取得している企業が次回更新を行う場合は、「構築・運用指針」への対応が必要となります。
構築・運用指針に基づく審査基準
「構築・運用指針」は、改正個人情報保護法の内容を盛り込んだ、全11項目に186の指針を含んだ内容となっています。
全11項目の内容は下記の通りです
- 組織の状況
- リーダーシップ
- 計画
- 支援
- 運用
- パフォーマンス評価
- 改善
- 取得、利用及び提供に関する原則
- 適正管理
- 個人情報に関する本人の権利
- 苦情及び相談への対応
これから先はJIPDEC(一般財団法人日本情報経済社会推進協会)のホームページに掲載されている内容から説明をするため、若干、内容が難しくなっております。
弊社では下記の内容について理解をしたコンサルタントが分かりやすく説明し規定づくりをサポート致しますので、つまづきそうな方はお気軽にご相談ください!
それでは、それぞれの項目における「概要」について、順番に解説します。
1.組織の状況
「組織の状況」の項目で求められていることを、なるべくわかりやすく整理します。
- 1. PMS(個人情報保護マネジメントシステム)の構築に向けての課題確認
PMSを作る際に、どんな問題が起こりそうかを考えて整理します。例えば、法改正への対応や、社内で使える資源が足りているかなど、外部・内部それぞれの問題を把握します。
- 2. 利害関係者の把握
社員やお客様など、PMSに関わる人や団体を把握し、その人たちがどんな個人情報保護を求めているかを理解します。
- 3. 関連する法令の確認
個人情報保護法や番号法といった関連法令、さらには省庁のガイドラインをチェックして、常に最新の法律に対応できるようにしておきます。
- 4. 適用範囲の決定と文書化
PMSをどこまで適用するかを決めて、それを文書として残します。文書の形式は自由ですが、規定や手順書として記録に残すことが重要です。
- 5. 継続的な改善
PMSを実行して終わりではなく、PDCA(計画→実行→評価→改善)やOODA(観察→判断→行動→適応)といった方法で、常に改善を続けていきます。
2.リーダーシップ
「リーダーシップ」の項目で求められていることを、なるべくわかりやすく整理します。
- 1. トップマネジメントのリーダーシップと責任
トップマネジメント(通常は会社の代表者)は、PMS(個人情報保護マネジメントシステム)をしっかり指揮し、全従業員に対してリーダーシップを発揮する必要があります。また、顧客や取引先といった関係者に対して、個人情報保護に責任を持って関与することが求められます。
- 2. 個人情報保護方針の策定
会社全体で、どのように個人情報を守るかをまとめた「個人情報保護方針」を作成し、その内容を社内だけでなく、外部の人々にも分かるように公開する必要があります。例えば、会社のホームページで閲覧できるようにするなどの対応が求められます。
- 3. 役割と責任の設定
PMSを運営するために、誰がどの役割を持つか、責任や権限を明確にする必要があります。
- 4. 重要な担当者の任命
特に「個人情報保護管理者」や「個人情報保護監査責任者」を任命し、これらの担当者が責任を持って業務を進めることが求められます。
3.計画
「計画」の項目で求められていることを、なるべくわかりやすく整理します。
- 1. 個人情報の特定
個人情報がどこで扱われているかを全て把握し、漏洩などのリスクを減らすために「個人情報管理台帳」を作成し、少なくとも年に1回確認して最新の状態に保つ必要があります。
- 2. リスクおよび機会に対する対処
個人情報を扱う際のリスクや改善の機会を考え、それにどう対応するかを計画します。
- 3. 個人情報保護リスクアセスメントの実施
個人情報を取り扱う際のリスクを特定し、それを分析・評価する「リスクアセスメント」を行います。これにより、どのようなリスクが存在し、どの程度の影響があるかを把握します。このリスクアセスメントの方法を文書化し、年1回以上は見直すことが必要です。
- 4. 個人情報保護リスク対応
リスクアセスメントの結果に基づき、リスクに対処するための具体的な対策を計画し、実施します。これらの対策は文書化し、その結果も記録として残しておく必要があります。
- 5. 個人情報保護目的の認識と計画策定
個人情報保護方針を達成するために、具体的な目標を設定し、その目標を達成するための計画を立てます。
- 6. PMSの実施に必要な計画の策定
MSを効果的に実行するために、例えば教育計画や内部監査の計画を年1回以上、また必要に応じて随時策定します。
4.支援
「支援」の項目で求められていることを、なるべくわかりやすく整理します。
- 1. 従業員の能力維持
会社は、従業員が個人情報を適切に取り扱えるように、定期的な教育やトレーニングを行い、能力を維持する必要があります。このため、教育計画やその記録を整備し、年に1回以上は実施します。
- 2. コミュニケーション体制の整備
通常時でも緊急時でも、従業員や関係者(取引先など)と必要な情報をタイムリーに共有できるような体制を作ります。特に緊急時には、迅速な情報共有が求められます。
- 3. 緊急事態への準備
個人情報漏洩などの緊急事態に備え、事前に対応策を計画し、万が一発生した場合には迅速に対応できる準備をします。緊急連絡先や対応手順を文書化し、それを従業員が確認できるようにします。
- 4. 規程や記録の管理
内部規定や緊急時の対応手順は文書化して管理します。また、緊急事態が発生した際の対応内容も記録し、それをしっかり保管しておきます。
- 5. 資源の提供
PMS(個人情報保護マネジメントシステム)を運用するためには、従業員やシステム、資金などのリソースが必要です。これらのリソースを、従業員や関係者に適切に提供します。
5.運用
「運用」の項目で求められていることを、なるべくわかりやすく整理します。
- 1. 運用手順の文書化
PMS(個人情報保護マネジメントシステム)の運用方法を、具体的な手順として文書化します。これには、従業員が日々行う業務や、緊急時の対応方法も含まれます。
- 2. 計画内容の実施と管理
計画した内容に基づいて、PMSを実行し、その進行状況を管理します。実行する際には、計画通りに進んでいるかを確認することが重要です。
- 3. 計画内容の見直し
運用中に問題や改善点が見つかった場合、計画内容を定期的に見直し、必要に応じて修正します。見直しが行われた場合、その内容は記録しておく必要があります。
- 4. 外部委託業務の管理
外部に業務を委託している場合、その委託先が個人情報を適切に管理しているかを確認し、委託業務の内容を文書に残して管理します。
- 5. 記録の保持
PMSの運用に関連するすべての記録(計画の変更や業務の実施状況など)を、適切に保管し、いつでも確認できるようにしておきます。
6.パフォーマンス評価
「パフォーマンス評価」の項目で求められていることを、なるべくわかりやすく整理します。
- 1. 各部門管理者による確認と改善
各部門の管理者は、日常業務で個人情報の取扱いに問題がないかを常に確認します。万が一、リスクや改善点が見つかれば、すぐに対策を講じ、管理レベルを向上させます。
- 2. 内部監査の実施
少なくとも年に1回、個人情報保護監査責任者が内部監査を行います。監査では、PMSが規定に沿って正しく運用されているかを確認します。監査の手順や結果は文書化し、保存します。なお、監査責任者は自分の部署を監査することはできません。
- 3. マネジメントレビュー
トップマネジメントが年に1回以上、PMSの運用状況を評価し、改善や是正が必要な部分を見直します。これにより、PMSの継続的な改善と向上を図ります。
7.改善
「改善」の項目で求められていることを、なるべくわかりやすく整理します。
- 1. 不適合に対する是正措置
PMS(個人情報保護マネジメントシステム)に問題が発見された場合、すぐにその問題を解決するための対策を実行します。是正措置の手順は文書化しておき、必要に応じて見直しも行います。
- 2. 類似の不適合の確認
1つの問題が発見された際には、他に同じような問題が起きていないかも確認します。これにより、同様の事故の再発を防ぐことができます。
- 3. 実施結果の文書化と承認
是正措置を実施した後、その結果は必ず文書として記録します。また、基本的にその内容はトップマネジメントの承認を得る必要があります。
- 4. 継続的な改善
PMSが常に適切に運用されているかを確認し、PDCAサイクル(計画→実行→評価→改善)を用いて、システムを継続的に改善していきます。
8.取得、利用及び提供に関する原則
「取得、利用および提供に関する原則」の項目で求められていることを、なるべくわかりやすく整理します。
- 1. 利用目的の特定
個人情報を取得する際は、どのような目的で使うかを明確にし、その目的の範囲内でのみ利用します。目的外での利用は原則禁止です。
- 2. 適正な取得
個人情報は、法律に則り公正な手段で取得する必要があります。不正な方法で情報を集めてはいけません。
- 3. 要配慮個人情報の取得ルール
「要配慮個人情報」(例: 病歴や社会的立場など)は特に注意が必要です。取得する際には、必ず本人の同意が必要で、書面で同意を得るか、口頭で同意を取るかについても決められたルールに従います。
- 4. 個人情報を取得した場合の対応
取得した個人情報は適切に管理され、利用目的が達成され次第、必要に応じて適切な処理が行われます。
- 5. 本人から書面で個人情報を取得する場合の対応
本人から書面で個人情報を取得する場合は、その書面に明記された利用目的に従い、その範囲内で使用します。
- 6. 利用に関するルール
個人情報を利用する際は、事前に通知された利用目的の範囲内でのみ行い、範囲を超える使用は原則として許されません。
- 7. 本人への連絡や接触に関する措置
本人と連絡を取る場合、事前に連絡手段や目的を明示しておく必要があります。これにより、本人が連絡を受ける準備を整えることができます。
- 8. 個人データの提供に関する措置
個人情報を第三者に提供する場合、事前に本人の同意を得て、適切な方法で提供を行います。
- 9. 国外の第三者への提供の制限
国外の組織に個人情報を提供する際は、国際的なルールに従い、追加の制限や確認が必要です。
- 10. 第三者提供に関する記録の作成
第三者に個人情報を提供した場合、その内容を記録し、後から確認できるようにします。
- 11. 第三者から提供を受ける際の確認
第三者から個人情報を受け取る場合、その情報が適切に取得されたものであるかを確認します。
- 12. 個人関連情報の提供制限
個人関連情報(購買履歴などの間接的な情報)の提供には、本人の同意が必要で、慎重に扱います。
- 13. 匿名加工情報の取扱い
匿名加工情報とは、個人を特定できないように加工された情報のことです。これを利用する場合は、個人が識別できないことを保証し、適切に管理します。
- 14. 仮名加工情報の取扱い
仮名加工情報は、識別されないように仮名化された情報のことです。この情報も、個人が特定できないように管理し、必要に応じて再識別できないようにする措置が必要です。
9.適正管理
「適正管理」の項目で求められていることを、なるべくわかりやすく整理します。
- 1. 正確性の確保
取得した個人情報は、常に最新かつ正確な状態を保つ必要があります。そのため、定期的にデータを確認し、必要に応じて修正を行います。
- 2. 安全管理措置
個人情報が漏洩しないように、個人情報保護法に基づき、適切な安全管理措置を講じる必要があります。例えば、データの暗号化やアクセス制限、バックアップの確保などで対応できます。
- 3. 従業者の監督
個人情報を取り扱う従業者が正しく情報を管理できるように、適切な監督を行います。これは教育やトレーニングを含み、従業者が個人情報保護の重要性を理解していることが重要です。
- 4. 委託先の監督
外部の委託先に業務を依頼する際は、その委託先が十分な個人情報保護の対策を取っていることを確認します。また、個人情報の取扱いについて具体的な契約を結び、守るべき基準を明確にしておくことが求められます。
10.個人情報に関する本人の権利
「個人情報に関する本人の権利」の項目で求められていることを、なるべくわかりやすく整理します。
- 1. 個人情報に関する権利
個人情報を提供した本人には、その情報に関するいくつかの権利があります。これには、情報の開示や訂正、削除、利用停止を求める権利が含まれます。
- 2. 開示等の請求手続き
もし本人が自身の個人情報の開示を求めた場合、どこに、どのように請求するか、また、どの範囲までの情報が開示されるかをあらかじめ明示しておく必要があります。
- 3. 保有個人データの利用目的の通知
本人から個人情報の使用目的について問い合わせがあった場合は、速やかにその目的を通知します。これにより、本人が自分の情報がどのように使われているか確認できます。
- 4. 訂正、追加、削除の対応
取本人から自身の個人情報に対して、訂正や追加、削除の要望があった場合、その対応を速やかに行う必要があります。これも本人の権利として「構築・運用指針」で定められています。
- 5. 利用・提供の拒否権
本人から書面で個人情報を取得する場合は、その書面に明記された利用目的に従い、その範囲内で本人は、自身の個人情報が利用されたり第三者に提供されたりすることを拒否する権利があります。その場合も、事業者は対応しなければなりません。
11.苦情及び相談への対応
「個人情報に関する本人の権利」の項目で求められていることを、なるべくわかりやすく整理します。
- 1. 苦情対応手順の文書化
会社は、本人からの個人情報の取り扱いに関する苦情に対して適切かつ迅速に対応するための手順を、内部規定として文書化し、その対応体制を整備しておく必要があります。
- 2. 苦情および相談の対応実施
苦情や相談が発生した際に、適切かつ迅速に対応することが求められます。
- 3. 苦情の申立先の明示
本人が苦情をどこに申し立てればよいかを明確にします。申立先の連絡先や対応窓口を分かりやすく提示することが必要です。
- 4. 認定個人情報保護団体の明示
もし事業者が認定個人情報保護団体の対象となっている場合は、その団体の苦情解決窓口も明示する必要があります。こうすることで、本人が適切な窓口にアクセスできるようになります。
- 5. 適切かつ迅速な対応のための体制整備
苦情や相談が発生した際に、適切かつ迅速に対応できる体制を整備します。対応担当者を決めたり、緊急時の対応方法を決めておくことが重要です。迅速な対応が求められるため、定期的な訓練や体制の見直しも重要です。
まとめ
この記事では、Pマークの審査基準となる「構築・運用指針」の概要を解説しました。
「構築・運用指針」は、全11項目18指針からなり、それぞれの項目において、自社の業務運用に合わせた準備が必要です。
この記事をお読みいただくことで、大まかにどのような準備が必要となるかイメージはできると思いますが、「自社に置き換えた場合に、どのような具体的な準備が必要となるか」は、会社ごとによって異なります。
そして、上記の審査基準に適合した準備を自力で行うのはかなり困難です。
オプティマソリューションズでは、19年で3,000件以上の多種多様な業種のお客様へのコンサルティング経験をもとに、自社の業務運用に無理のない最適なPマーク取得準備を行うことができます。
「Pマーク取得基準を満たすために、何をどのようにしていいか分からない」という担当者の方に向けて、分かりやすい無料セミナーも実施しております。
ご参加いただければ、Pマーク取得に向けた取り組みに関することが、よりイメージできるセミナーになっております。
Pマーク取得のご相談ならオプティマ・ソリューションズへ!
弊社は創業後の20年間で3,000件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではPマーク認証の取得・更新をする以上に、貴社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからPマーク認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談ください。