PMSの構築:有限会社ネオユニバース

HOME > PMS > PMSの構築

個人情報保護マネジメントシステム(PMS)の構築

個人情報保護マネジメントシステム(PMS)の構築

個人情報保護マネジメントシステム構築推進プロジェクトの体制整備

 個人情報保護マネジメントシステムを構築し、その継続的な改善(PDCAサイクル)を実行するための社内体制を整備します。
 個人情報保護マネジメントシステムは事業者の従業者(代表者・役員・正社員・派遣社員・パート・アルバイト)の全員参加で運用されますが、その準備段階では代表者・プロジェクトリーダーの指揮にしたがい、マネジメントシステムの構築を進めていきます。

代表者による個人情報保護マネジメントシステム導入の宣言

 個人情報保護を推進する体制を確立するためには、代表者の強力なリーダーシップが必要です。代表者自らがマネジメントシステム導入の宣言を行い、従業者全員の結束と協力を図ります。

代表者によるマネジメントシステム構築推進プロジェクトリーダーの任命

 個人情報保護マネジメントシステムを構築する責任者(プロジェクトリーダー)を任命します。また、必要に応じてプロジェクトチームを組織します。

プロジェクトリーダーによる現状分析と調査

 現状の業務フローの分析・評価、個人情報の所有・利用・管理状況の調査を行い、個人情報保護マネジメントシステムを設計するための基礎資料とします。

個人情報の特定・リスクの洗い出し

 個人情報保護マネジメントシステム構築を推進するプロジェクトリーダーの指揮にしたがい、組織が所有・利用・管理する個人情報を漏れなく列挙し、その事業の用に供する個人情報として特定します。さらに、各部署・業務ごとに、特定された個人情報を取扱う上でのリスクと脅威を分析・評価・認識します。

「個人情報調査表」の作成

 組織の各部門・業務ごとに取扱っているすべて個人情報の棚卸しを行い、それらを集計し、一覧表にまとめます。一覧表の作成にあたっては、全組織的に統一した様式を使用し、各部門・業務に渡り、一定の期間に一斉に行います。

「個人情報管理台帳」の作成

 各部門・業務ごとに作成された「個人情報調査表」を集約し、個人情報を組織全体として特定した「個人情報管理台帳」を作成します。「個人情報管理台帳」には、特定された個人情報を取扱う部門・業務ごと、または個人情報の種類ごとに分類・整理し、個々の個人情報の利用目的・管理責任者・取得・保管・廃棄・保有件数等を記載します。

「個人情報取扱業務フローチャート」の作成

 作成した「個人情報管理台帳」を基に、個々の個人情報の取得から廃棄までの業務の流れを「個人情報取扱業務フローチャート」にまとめます。「個人情報取扱業務フローチャート」は、特定されたすべての個人情報について作成されます。

特定された個人情報についてのリスク認識・分析とリスク対策

 「個人情報管理台帳」と「個人情報取扱業務フローチャート」を基に、特定した個人情報の取得から廃棄までの一貫した流れの各局面において、その想定されるリスクを認識・分析します。また、リスクを低減させるための対策を考案し、認識・分析したリスクと、これらの対策を「個人情報リスク認識・分析・対策一覧表」にまとめます。

残存リスクの把握と管理

 リスク対策を実施しても、なお解消されないリスクを残存リスクとして認識し、「個人情報リスク認識・分析・対策一覧表」に記載して管理します。

物理的・技術的安全対策の実施

 特定した個人情報についてリスク認識・分析した結果に基づき、リスク低減の具体的な対策として、物理的・技術的安全措置を実施します。物理的安全対策には、入退室管理、盗難等に対する防止策、情報機器等の物理的な保護などの措置があります。また、技術的安全対策には、個人情報データベースを構成する情報システムへのアクセス制御、ウィルスソフトウェアからの防御、情報システムへのアクセス監視などの措置が含まれます。
 ただし、以下の物理的・技術的安全管理対策は、そのすべてを導入する必要はありません。個人情報の重要度や経営資源の配分を考慮した上で、必要な安全管理措置を選択して実施します。

物理的安全管理対策−入退室管理

 個人情報を取扱う執務室(セキュリティーエリア)やコンピュータネットワークのサーバールーム(高度なセキュリティーエリア)への入退室を管理・制限・監視するシステムを導入します。

物理的安全対策−盗難等に対する防止策

 クリアデスクポリシー(退社・離席時の個人情報を含む書類・ノートパソコン類の施錠保管)、外部記録装置(フロッピーディスク・CD・DVD・USBメモリー等)の利用制限、ハードディスクの暗号化、個人情報を含む記録(書類・フロッピーディスク・CD・DVD・USBメモリー)・ノートパソコンの持ち出しの禁止、個人所有の記録媒体・ノートパソコンの持ち込みの禁止等、組織内外の者による盗難や組織内の者による紛失を防止する措置を講じます。

物理的安全対策−機器・装置等の保護

 安全管理上の脅威(盗難・破壊・破損等)や環境上の脅威(地震・浸水・火災・停電等)から個人情報を取扱う機器・装置を保護します。

技術的安全管理対策−個人データへのアクセスにおける識別と認証

 個人データを管理するコンピュータネットワークのサーバー・クライアントコンピュータに、ID・パスワードの設定、生体認証システムの導入等を行うことによって、個人データに対するアクセスが正当なものであることを確認します。

技術的安全管理対策−個人データへのアクセス制御

 個人データを利用する業務ごとに、コンピュータネットワークにアクセスできるID・クライアントコンピュータを設定し、当該個人データへのアクセスが可能な従業者とクライアントコンピュータを制限します。

技術的安全管理対策−個人データへのアクセスの記録

 個人データへのアクセスログの取得・記録・検証によって、不正アクセスの有無や各個人データへのアクセス状況を把握します。

技術的安全対策−情報ネットワークシステムにおける不正ソフトウェア対策の実施

 個人データを管理するコンピュータネットワークを構成するクライアントコンピュータへのウィルス対策ソフトウェアの導入、ウィルス定義パターンファイルの最新性の確保等によって、情報ネットワークシステムをコンピュータウィルス等の攻撃から保護します。

技術的安全対策−個人情報の移送(運搬・郵送・宅配等)・通信時の対策

 個人データを移送する際の紛失・盗難に備え、当該データを暗号化して個人情報漏洩を防止します。また、個人データを電子メールで送信する場合は、データの暗号化・デジタル署名等の利用によって、第三者による盗聴・改竄・なりすましを防止します。無線LANを使用する場合も、パスワードを設定して、または個人データを暗号化して通信を行います。

技術的安全−情報ネットワークシステムの動作確認時の対策

 新たな情報ネットワークシステムの導入、または現在の情報ネットワークシステムを変更する場合は、コンピュータシステムの動作確認における実際の個人データの使用を禁止します。また、情報ネットワークシステムの変更については、これを変更することによって、従来のセキュリティー機能が損なわれないことを確認します。

技術的安全対策−情報ネットワークシステムの監視

 情報ネットワークシステムの使用状況、個人データへのアクセス状況を調査・分析し、個人データへの不正なアクセス・業務上不必要なアクセスの有無を監視します。

個人情報保護マネジメントシステムの文書化

 プライバシーマーク制度が準拠する「JIS Q 15001:2006」は、「事業者は、次の個人情報保護マネジメントシステムの基本となる要素(個人情報保護方針・内部規定・計画書記録類)を書面で記述しなければならない。」、また「事業者は、この規格(JIS Q 15001:2006)が要求するすべての文書(記録類を除く)を管理する手順を確立し、実施し、かつ、維持しなければならない。」と規定しています。個人情報保護マネジメントシステムは、すべてこれらの規程類に基づき実施・運用されるため、その文書体系の整備・維持には、非常に重要な意味があります。この文書体系の整備が、個人情報保護マネジメントシステムの構築、プライバシーマーク認定取得の準備を行う上で、最も時間と労力が必要とされる工程と考えられます。

個人情報保護方針の策定

 事業者の代表者は、個人情報保護の理念と、個人情報を取扱う自らの事業との関連性を明確にた上で、以下の事項を含む個人情報保護方針を定め、これを実施・維持しなければなりません。また、この個人情報保護方針は、従業者に周知させるとともに、一般の人々が容易に入手できるような措置をする必要があります。

  1. 事業内容および規模を考慮した適切な個人情報の取得、利用および提供に関すること(特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(目的外利用)を行わないこと、およびそのための措置を講じることを含む)。
  2. 個人情報の取扱に関する法令、国が定める指針その他の規範を遵守すること
  3. 個人情報の漏洩、滅失または毀損の防止および是正に関すること
  4. 苦情対応および相談への対応に関すること
  5. 個人情報保護マネジメントシステムの継続的改善に関すること
  6. 代表者の氏名

個人情報保護基本規程の策定

 個人情報保護マネジメントシステムの実施・運用の基本となる「個人情報保護基本規程」を策定します。基本規程では、その目的・適用範囲・用語および定義等、これら個人情報保護マネジメントシステムを実施・運用する上での必要事項を、「JIS Q 15001:2006」の要求事項に基づいて規定します。

個人情報保護基本規程に基づく各個別規程の策定

 個人情報保護マネジメントシステムを具体的に実施・運用するため、個人情報保護基本規程で規定した要求事項に基づき、以下の各個別規程を策定します。これらの内部規程は、各事業者の実情に合わせて策定する必要があります。

  1. 個人情報を特定する手順に関する規程
  2. 法令、国が定める指針その他の規範の特定、参照および維持に関する規程
  3. 個人情報に関するリスクの認識、分析および対策の手順に関する規程
  4. 事業者の各部門および階層における個人情報を保護するための権限および責任に関する規程
  5. 緊急事態(個人情報が漏洩、滅失または毀損した場合)への準備および対応に関する規程
  6. 個人情報の取得、利用および提供に関する規程
  7. 個人情報の適正管理に関する規程
  8. 本人からの開示等の求めへの対応に関する規程
  9. 教育に関する規程
  10. 個人情報保護マネジメントシステム文書の管理に関する規程
  11. 苦情および相談への対応に関する規程
  12. 点検に関する規程(運用確認・監査規程)
  13. 是正および予防措置に関する規程
  14. 代表者の見直しに関する規程
  15. 内部規程の違反に関する罰則の規程

各個別規程に基づく計画書の作成

 各個別規程によって要求される「教育計画書」・「監査計画書」等の計画書を作成します。従業者の個人情報保護教育や個人情報保護マネジメントシステムの監査は、これらの計画書に基づき実施されます。

各個別規程に基づく記録類の作成

 各個別規程に基づき「個人情報管理台帳」・「個人情報リスク分析・認識・対策一覧表」等の記録類を作成します。これらの記録類は、個人情報保護マネジメントシステムの運用に対応して、維持・更新されます。

個人情報保護マネジメントシステム運用体制の構築

 個人情報保護マネジメントシステムの文書化が完了した後は、事業者の組織的な活動として、個人情報保護マネジメントシステムの本格的な運用の段階に入ります。個人情報保護マネジメントシステムを効率的に運用するためには、個人情報保護の運用体制を構成する要員の役割・責任・権限を明確にし、従業者全員に周知させる必要があります。

個人情報保護の運用体制−代表者の責任と役割

 事業者の代表者には、個人情報保護の運用体制を構築する上で、以下の重要な責任と役割があります。

  1. 個人情報の取扱い関する重要性の十分な理解
    1. 個人情報を取扱うことによる経営上のメリットとデメリットの認識
    2. 個人情報を取扱うことによる経営上のリスクの認識
  2. 個人情報保護管理責任者・個人情報保護監査責任者の任命
  3. 事業者における個人情報保護の組織的な取り決めと顧客・社会へのコミットメント
    1. 個人情報保護方針の策定
    2. 策定した個人情報保護方針の公表と遵守の宣言
    3. 個人情報保護管理者・推進事務局によって策定された個人情報保護基本規程・各個別規程の承認
  4. 従業者に対する個人情報保護の重要性についてのメッセージの発信
  5. 個人情報保護を含む法令を遵守する組織の風土・文化・倫理の形成

個人情報保護の運用体制−全社的な運用体制の構築と推進部門

 個人情報保護管理責任者は、個人情報保護マネジメントシステムの全組織的な運用推進の体制を整備するため、自己の関連部門を含む推進事務局(個人情報保護推進事務局)を設置します。また、個人情報保護監査責任者・個人情報保護教育責任者・個人情報苦情・相談窓口責任者、各部門の個人情報保護責任者と協調しながら、個人情報保護マネジメントシステム運用推進のための全組織的な一致協力体制を構築します。

個人情報の運用体制−各部門での運用体制

 各部門の個人情報保護責任者は自己の部門において、全組織的に定められた基本規程・各個別規程等に基づく個人情報保護マネジメントシステムの運用推進を図るため、その推進管理者(部門管理者)を自己の部門の構成員の中から任命します。また必要に応じて、実際に個人情報を取扱っている業務・現場ごとに取扱責任者(個人情報取扱責任者)・取扱担当者(個人情報取扱担当者)を設置し、個人情報保護マネジメントシステムの運用推進の体制を組織の末端にまで拡大します。

運用体制に求められる役割・責任・権限−個人情報保護管理責任者

 個人情報保護管理責任者は、全組織・各部門における個人情報保護マネジメントシステムの運用体制を構築するとともに、その効果的な実施を図るため、以下の具体的な措置を講じます。

  1. 個人情報保護推進事務局の編成、個人情報保護教育責任者・個人情報苦情・相談窓口責任者を指名し、個人情報保護の運営体制を確立すること。
  2. 個人情報保護運用体制の構成員の役割を明確にした上で、各構成員に対し、その役割と重要性を認識させること。
  3. 個人情報を取扱うことのメリットとデメリットを十分に認識し、認識したリスクに対するコントロールと適切な対策を実施すること。
  4. 緊急時(個人情報の漏洩・滅失・毀損等)に備えての対応体制を確立すること。
  5. 策定された個人情報保護マネジメントシステム文書と「JIS Q 15001:2006」の要求事項との適合性を検証すること。

運用体制に求められる役割・責任・権限−個人情報保護監査責任者

 個人情報保護監査責任者は、監査計画の立案・実施、結果の評価・代表者への報告を公平・公正・客観的な立場で実施するため、以下の具体的な措置を講じます。

  1. 個人情報保護に関する専門的な知識と経験を有する監査員によって、監査体制を確立すること。
  2. 監査員の役割を明確にした上で、各監査員に対し、その役割と重要性を認識させること。
  3. 監査員に対し、個人情報保護に関する高度な知識と、監査に関する専門能力・監査員としての倫理観を身に付けさせるための教育を行うこと。
  4. 年間の監査基本計画、個別の監査実施計画の策定を行うこと。
  5. 監査計画に基づき、効率的・効果的に監査を実施すること。
  6. 監査結果に基づく評価・結論を代表者に報告し提出し、被監査部門と協議の上で、その問題点・是正点を被監査部門に理解させ、改善を促すこと。

運用体制に求められる役割・責任・権限−個人情報保護教育責任者

 個人情報保護教育責任者は、全従業者に対する個人情報保護教育の計画・実施をするため、以下の具体的な措置を講じます。

  1. 教育の目的に応じた計画(対象者・講師・内容・時期等)を策定すること。
  2. 計画に基づき教育を実施し、その実施状況(対象者の出欠の確認・欠席者への再教育等)を管理すること。
  3. 教育結果の効果(受講者の理解度・満足度)を測定し、次回の教育計画への反映と教育内容の充実を図ること。
  4. 緊急時(個人情報の漏洩・滅失・毀損等)に備えて、緊急事態対応を想定した訓練を計画・実施すること。

運用体制に求められる役割・責任・権限−個人情報苦情・相談窓口責任者

 個人情報苦情・相談窓口責任者は、本人からの個人情報に関する苦情・相談に対し、迅速・適正に対応するための体制を確立するため、以下の具体的な措置を講じます。

  1. 本人からの苦情・相談の調査を独自に、または組織内の関連部門に依頼して行うこと。
  2. 本人からの苦情・相談が、自らの組織が取扱う個人情報に関するものか、本人の要求に応じるか否かを判断すること。
  3. 調査結果・判断結果に基づき、苦情・相談に対する回答を本人に行うこと。
  4. 苦情・相談の内容を記録し、個人情報保護マネジメントシステムの見直しのインプットとして代表者に報告すること。

運用体制に求められる役割・責任・権限−個人情報保護推進事務局・部門管理者

 個人情報保護推進事務局は、個人情報保護管理責任者の指揮にしたがい、全組織的な個人情報保護マネジメントシステムの運用推進に必要な実務を行います。また、部門管理者(個人情報保護責任者)は、自己の部門における個人情報保護マネジメントシステムの適正な運用の徹底を図るため、具体的な推進活動を行います。両者の主な役割は、以下の通りです。

  1. 策定された個人情報保護マネジメントシステムの普及徹底を図ること。
  2. 各部門おける個人情報保護マネジメントシステムの運用体制を明示し、各部門の従業者に周知させること。
  3. 各部門の従業者に対し、個人情報保護マネジメントシステムの運営体制において、それぞれが担う役割に応じた指導をすること。
  4. 各部門おける個人情報保護マネジメントシステムの運用状況を点検し、その結果に基づき是正措置・改善措置を実施すること。
  5. 各部門おける個人情報保護マネジメントシステムの運用状況の点検で判明した是正点・改善点を整理し、代表者・個人情報保護管理責任者が、個人情報保護マネジメントシステムの見直しを行う際の情報・資料として提供すること。

運用体制に求められる役割・責任・権限−各部門の個人情報取扱責任者・取扱担当者

 各部門の個人情報取扱責任者・取扱担当者は、個人情報保護責任者の指揮にしたがい、自己の業務・現場において取扱う個人情報の保護を図るため、以下の具体的な役割を担います。

  1. 自己の業務・現場が取扱う個人情報を確認し、それらを取扱う上でのルールを遵守すること。
  2. 個人情報保護マネジメントシステムに基づき、自己の責任範囲に属する各種記録類を作成すること。
  3. 現場レベルでの個人情報の安全管理に関する提案を行うこと。
  4. 緊急事態(個人情報の漏洩・滅失・毀損等)の発生を迅速に報告すること。

個人情報保護マネジメントシステムの運用

 保有する個人情報の特定、リスクの認識・分析・対策、個人情報保護方針の策定・公表、各内部規程(基本規程・個別規程・記録類等)の策定・施行、個人情報保護の運用体制(各部門・階層の従業者の役割・権限)を確立の各過程を経た後に、個人情報保護マネジメントシステムの本格的な運用の段階に入ります。個人情報保護マネジメントシステムの構築段階と同様に、その運用段階においても、事業者の代表者のリーダーシップは、個人情報保護マネジメントシステムの運用を早期に軌道に乗せるための最も重要な要素になります。

代表者による運用開始宣言

 事業者の代表者は、個人情報保護マネジメントシステムの導入の目的・意義を明確にし、全従業者に対して全組織的な協力体制の確立を呼びかけた上で、個人情報保護マネジメントシステムの運用開始宣言を行います。

個人情報保護マネジメントシステムの早期開始・早期定着

 代表者の運用開始宣言が発せられた時点で、個人情報保護マネジメントシステムの運用は開始されます。個人情報保護マネジメントシステムの運用に関して重要な役割を担う代表者・個人情報保護管理責任者・各部門の責任者・各部門の管理者等は、その統率力・指導力を発揮し、個人情報保護マネジメントシステムの早期開始・早期定着を目指します。
 また、個人情報保護管理責任者は、各部門の責任者・各部門の管理者・取扱責任者等の協力を得て、個人情報保護マネジメントシステムの運用状況を常に確認し、適切に運用されていない事項や不適合を発見した場合には、それらに対する是正処置・予防処置を実施します。

個人情報保護教育の実施

 個人情報保護を確実に実現するためには、構築した個人情報保護マネジメントシステムを組織の全従業者に、周知・遵守させるための教育を行うことが不可欠です。また、個人情報保護マネジメントシステムの構築・維持を担う人材の育成も、個人情報保護教育の重要な課題になります。

教育計画の策定−年間教育計画

 個人情報保護教育責任者は、個人情報保護マネジメントシステムに基づき年間教育計画を策定します。年間教育計画は、組織の全従業者に対する個人情報保護マネジメントシステムの周知徹底を図るため、以下の事項を考慮し策定します。

  1. 個人情報保護教育が全従業者に対して実施されること。
  2. 対象者の階層・業務内容に応じた教育目的・内容を設定すること。
  3. 入社時・移動時等に合わせたタイムリーな教育実施時期を設定すること。

教育計画の策定−個別教育計画

 年間教育計画に基づく個別教育計画としての研修プログラムを策定します。また、個別教育は年間教育計画にかかわらず、組織変更・従業者の臨時異動等が生じた場合には、必要に応じて計画・実施します。個別教育計画は、以下の事項を考慮して策定されます。

  1. 教育の目的
  2. 教育の対象者
  3. 教育を実施する担当者・組織
  4. 教育の実施時期・期間・場所
  5. 教育の方法(集合・個別研修、講義、グループディスカッション、Eラーニング等)
  6. 教育の内容(カリキュラム、テキスト等)
  7. 教育への参加形態(強制参加・任意参加等)
  8. 教育実施の通知手続(通知時期・通知方法等)
  9. 教育効果の測定方法(アンケート・テスト・感想文等)
  10. 教育の実施に必要な予算・費用

教育計画の策定−予算・費用管理

 個人情報保護教育に必要な年間予算を算定し、個別教育に必要な費用を管理します。教育の実施には、以下の費用が必要です。

  1. 教材費
  2. 講師料
  3. 会場費
  4. 交通費・出張費
  5. 外部研修受講料

教育計画の策定−教育実施計画書の作成・代表者の承認

 策定した教育計画は事業者の代表者の承認を得る必要があります。個人情報保護教育責任者は、教育実施計画書を作成して、代表者に提出し、その承認を得ます。

教育の実施−準備

 個人情報保護教育責任者は、事業者の代表者に承認された個別教育計画にしたがって、研修実施の準備をします。研修実施の準備は、以下の事項について行われます。

  1. 研修会場
  2. 使用する機器
  3. 講師の手配
  4. 使用するテキスト
  5. アンケート・テスト用紙の作成
  6. 受講者への案内(日時・場所・研修目的・用意する物等)
  7. 事前テストの実施(受講対象者の知識レベルの調査)

教育の実施−実施

 個人情報保護教育責任者は、個別教育計画に基づき、個人情報保護教育研修を実施します。

教育効果の確認

 受講者に対してアンケートやテストを実施し、教育研修の効果や理解度を測定します。

教育の記録・報告

 個人情報保護教育責任者は、教育研修の結果を記録しなければなりません。また、個人情報保護教育責任者は、教育研修の結果(参加者名・効果測定結果等)を代表者に報告し、その承認を得なければなりません。教育の実施記録は、教育計画と併せて、文書管理規程に基づき保管されます。記録・保管される計画書・記録簿・報告書は以下の通りです。

  1. 年間教育計画書
  2. 個別教育計画書
  3. 教育研修実施記録簿
  4. 教育実施報告書

教育効果の教育計画への反映

 教育研修の効果や理解度の測定結果を分析し、次年度の年間教育計画や次回の個別教育計画に反映させます。個人情報保護マネジメントシステムにおいては、教育研修自体も継続的に改善・見直しを図る必要があります。

教育実施後のフォロー

 個人情報保護教育の実施の結果としては、すべての従業者が、個人情報保護マネジメントシステムを実践するための十分な知識・理解の水準に達していなければなりません。個人情報保護教育責任者は、研修の未受講者や理解度の低い従業者に対して、受講機会の確保や再研修を実施する必要があります。

点検−運用の確認・監査の実施

 個人情報保護管理責任者および各部門の責任者・管理者は、個人情報保護マネジメントシステムが適切に運用されていることを自ら確認する必要があります。また、個人情報保護監査責任者は、個人情報保護マネジメントシステムの継続的な改善のため、組織の各部門に対しての監査を実施します。個人情報保護マネジメントシステムにおける「点検」は、これらの「運用の確認」と「監査」で構成されます。「運用の確認」は、各管理者が主体的となって行う「点検」、「監査」は個人情報保護監査責任者による客観的な「点検」と言えます。

運用の確認−日常的な運用確認

 個人情報保護管理責任者および各部門の責任者・管理者は、個人情報保護マネジメントシステムの運用に関する記録類を日常的にチェックします。各管理者は、記録類を定期的に点検することによって、個人情報保護マネジメントシステムの運用状況を確認し、不適合がある場合は、当該部門の責任者・管理者または自己の部門の従業者に、それに対する改善を指示します。

運用の確認−定期的な運用確認

 各管理者は、日常的な運用確認以外にも、定期的に個人情報保護マネジメントシステムの運用状況をチェックし、不適合を発見した場合は、速やかにそれに対する改善処置の実施を指示します。

運用の確認−個人情報保護管理責任者の運用確認・代表者への報告

 個人情報保護管理責任者は、代表者が行う個人情報保護マネジメントシステムの見直しにおける基礎資料として、個人情報保護マネジメントシステムの運用状況を事業者の代表者に報告します。
 個人情報保護管理責任者の運用確認と代表者への報告は、次の手順で行います。

  1. 運用確認の計画を策定し、代表者の承認を受ける。
  2. 運用確認チェックリストを作成し、個人情報保護管理者が自ら、または各部門の責任者・管理者に指示し、個人情報保護マネジメントシステムの運用確認を行う。
  3. 自らの確認結果、または各部門からの報告を集約し、その結果を「運用確認結果報告書」にまとめる。
  4. 代表者に、「運用確認結果報告書」、その承認を受ける。

運用の確認−個人情報保護管理責任者による改善指示

 個人情報保護管理責任者は、代表者により承認された運用確認報告に基づき、自ら、または各部門の責任者・管理者に指示して、個人情報保護マネジメントシステムの運用に関する不適合事項の改善を実施します。

運用の確認−代表者への不適合事項の改善報告

 個人情報保護管理責任者は、個人情報保護マネジメントシステムの運用確認の結果、または代表者からの指示に基づき、自ら、または各部署の責任者・管理者に指示し、運用上の不適合事項についての改善計画を策定し、それを「改善計画書」として文書化します。各管理者は、計画書に基づき、不適合事項の改善を実施し、個人情報保護管理責任者は、その結果を代表者に報告します。

運用の確認−運用確認の改善

 個人情報保護管理責任者は、個人情報保護マネジメントシステムの運用確認の適正性・実効性等を検証し、運用確認手順自体の改善を行います。改善を要する事項は、次回の運用確認に反映されます。

監査−個人情報保護監査責任者の役割・責任

 個人情報保護監査責任者は、個人情報保護マネジメントシステムと「JIS Q 15001:2006」との適合状況、および個人情報保護マネジメントシステムの運用状況について監査を行います。個人情報保護監査責任者は、組織における自己の責任・職務とは無関係に、公平・客観的な立場で監査を行わなければなりません。また、個人情報保護監査責任者は、次の事項についての認識・知識を深めておく必要があります。

  1. 自組織の経営・運営方針
  2. 自組織を取り巻く社会的環境
  3. 自組織が、個人情報を取扱うことのメリット(有用性)とデメリット(リスク)
  4. 個人情報保護に関する法令、国の指針その他の規範
  5. 個人情報保護マネジメントシステムに関する各内部規程・様式
  6. 個人情報保護の監査に関する専門能力

監査−監査体制の構築

 個人情報保護監査責任者は、可能な場合は単独で、必要に応じて組織内から監査員を選定し、監査体制を構築します。また、より公平・客観的な監査を行うために、個人情報の保護や監査の専門知識を持った外部の監査員を利用することも有効です。

監査−監査計画の策定

 個人情報保護監査責任者は、監査を効率的・効果的に実施するため、監査計画を策定し、それを監査計画書にまとめます。個人情報保護監査責任者は、監査の公正さを確保するため、監査計画書を事業者の代表者に提出し、その承認を得る必要があります。監査計画は、次の2種類で構成されます。

  1. 年間監査計画(全組織について漏れなく監査を実施するため、1年を通しての監査スケジュールを策定します。)
  2. 個別監査計画(年間監査計画に基づき、各部門・テーマごとに具体的な監査計画を策定します。)

監査−監査チェックリストの作成

 個人情報保護監査責任者は、監査を効率的・正確に実施するため、監査チェックリストを作成します。監査チェックリストは、以下の項目について、監査対象別に作成されます。

  1. 個人情報保護マネジメントシステムと「JIS Q 15001:2006」との適合状況(適合性監査)
  2. 個人情報保護マネジメントシステムの運用状況(運用状況監査)

監査−監査実施の通知・事前準備

 個人情報保護監査責任者は、被監査部門と監査日程を調整した上で、被監査部門の責任者に、以下の内容を通知します。

  1. 監査責任者名
  2. 監査員
  3. 被監査部門名
  4. 監査実施日時
  5. 監査テーマ
  6. 準備資料

監査−予備調査

 被監査部門が大規模な場合や監査内容が複雑な場合、個人情報保護監査責任者は、本調査に先立ち予備調査を行います。予備調査では、被監査部門の業務内容の把握や監査に必要となる資料の洗い出しなどを行い、これらの調査資料を活用することによって、監査の円滑な実施を図ります。

監査−本調査

 個人情報保護監査責任者は、個別監査計画・監査通知・予備調査に基づき、各監査チェックリストを利用して、各部門に対する監査を実施します。本調査は、以下の方法によって行われます。

  1. 被監査部門の責任者・管理者からの状況説明
  2. 被監査部門の責任者・管理者への質問・質疑
  3. 被監査部門の現地調査
  4. 報告書・記録類、資料等の収集・調査

監査−監査報告書の作成・代表者への報告

 個人情報保護監査責任者は、監査結果に基づき、被監査部門における個人情報保護マネジメントシステムと「JIS Q 15001:2006」との適合状況や個人情報保護マネジメントシステムの運用状況を評価し、不適合事項や問題点を抽出します。個人情報保護監査責任者は、被監査部門の意見・見解も考慮に入れつつ、これらの事項を「監査報告書」にまとめ、事業者の代表者に報告します。また、「監査報告書」は、被監査部門・個人情報保護管理責任者等の関係者へも配布します。

監査−是正処置・予防処置と再監査

 事業者の代表者は、個人情報保護監査責任者からの監査報告を受け、自ら、または個人情報保護監査責任者に命じて、個人情報保護管理責任者や被監査部門の責任者・管理者に対し、不適合事項・問題点の改善を指示します。個人情報保護管理責任者や被監査部門の責任者・管理者は、代表者の指示に対応し、不適合事項・問題点に対する改善計画を策定した上で、これを「是正処置・予防処置計画書」にまとめ、個人情報保護監査責任者に提出し、策定した改善計画を実施します。個人情報保護監査責任者は、改善計画の実施状況を再び監査し、再度、監査結果を代表者に報告し、その承認を受けます。

監査−監査の改善

 個人情報保護マネジメントシステムにおいては、監査自体も改善される必要があります。個人情報保護監査責任者は、実施した監査についての効果・効率・正確さ等を評価し、問題点・是正点を抽出します。これらの問題点・是正点に対する改善策は、次の年間監査計画・個別監査計画に反映され、次年度・次回の監査において実施されます。

是正処置・予防処置の実施

 個人情報保護管理責任者、各部門の責任者・管理者は、点検の結果・緊急事態の発生・外部監査機関の指摘等によって、個人情報保護マネジメントシステムに不適合事項や問題点を発見した場合、その不適合事項や問題点に対して、原因を特定した上で、是正処置・予防処置を行う必要があります。

不適合の内容の確認

 個人情報保護管理責任者、各部門の責任者・管理者は、不適合事項や問題点の内容を正確に把握します。特に、緊急事態の発生によって不適合事項や問題点が判明した場合は、当該緊急事態の事実関係を詳細に調査します。また、点検・外部監査機関の指摘によって判明した場合は、当該監査報告の内容を精査します。

不適合の原因の特定

 個人情報保護管理責任者、各部門の責任者・管理者は、不適合事項や問題点が組織体制、内部規程、運用手順、運用状況等、個人情報保護マネジメントシステムのどの部分関するかを明確にした上で、その不適合事項や問題点の原因を特定・究明します。

是正処置・予防処置の立案と代表者の承認

 個人情報保護管理責任者、各部門の責任者・管理者は、不適合事項や問題点に対する是正処置・予防処置を立案し、「是正処置及び予防処置計画書」にまとめた後、最終的には事業者の代表者に報告し、その承認を受けます。

是正処置・予防処置の実施と実施結果の報告

 個人情報保護責任者、各部門の責任者・管理者は、策定した是正処置・予防処置を実施した後、その実施記録を「是正処置及び予防処置実施報告書」にまとめた後、個人情報保護監査責任者に提出します。個人情報保護監査責任者は、当該是正処置・予防処置を実施した結果確認と有効性の評価を行った上で、その評価を「是正処置及び予防処置実施結果確認報告書」と「是正処置及び予防処置の有効性評価報告書」に記入した後、代表者に報告し、その承認を受けます。

個人情報保護マネジメントシステムの見直し

 事業者の代表者は、個人情報の適切な保護を維持するため、定期的(毎事業年度に1回以上)に個人情報保護マネジメントシステムの見直しを行う必要があります。この代表者による見直し(マネジメントレビュー)は、経営最高責任者の視点から、個人情報保護マネジメントシステムそのものを根本的に見直す点で、現行の個人情報保護マネジメントシステムを前提にして実施される点検(運用の確認・監査)とは異なります。

見直し体制の構築

 「事業者の代表者による見直し」とは言っても、見直しは代表者が単独で行うのではなく、他の役員、個人情報保護管理責任者、個人情報保護監査責任者、個人情報保護教育責任者、個人情報苦情・相談窓口責任者、部門管理者、必要に応じて外部の専門家等によって構成された委員会(マネジメントレビュー委員会)で検討されて行われます。

見直し案の策定

 マネジメントレビュー委員会の各委員は、自己の担当分野に関する見直し事項を議案として提出し、それに対しての各委員の意見を審議・集約し、見直し事項が決定されていきます。この事業者の代表者による見直しに関しては、以下の事項を考慮(インプット)する必要があります。

  1. 監査及び個人情報保護マネジメントシステムの運用状況に関する報告
  2. 苦情を含む外部からの意見
  3. 前回までの見直しの結果に対するフォローアップ(2回目以降の場合)
  4. 個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況
  5. 社会情勢の変化、国民の認識の変化、技術の進歩等の諸環境の変化
  6. 事業者の事業領域の変化
  7. 内外から寄せられた改善のための提案

見直しの実施と記録

 代表者は、個人情報保護に係わる各責任者に指示し、委員会で策定した見直し案を実施させます。個人情報保護管理責任者は、マネジメントレビューによるものとして、これらの実施状況を「是正処置及び予防処置実施報告書」に記録します。