プライバシーマーク 個人情報保護マネジメントシステム
「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」への移行支援についてはこちらをご覧ください。
プライバシーマーク(個人情報保護マネジメントシステム)
個人情報流出事件、個人情報保護法の改正、マイナンバーの利用拡大等、個人情報保護に対する関心が非常に高まっています。電子データ化された個人情報は流出の危険性が高く、加工・編集も容易で、いったん流出すると回収が難しいことから、個人情報の保護は、いまや企業の社会的責任となり、企業の存続をも脅かしかねない重大な関心事になりつつあります。
Ⅰ. プライバシーマークとは
プライバシーマーク制度は、一般財団法人日本情報経済社会推進協会(JIPDEC)が、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針(以下、「構築・運用指針」)」に基づいて、民間事業者の個人情報保護に関する管理体制を審査し、準拠していると認定された事業者に対してその証しとして、プライバシーマークの使用を認める制度です。
プライバシーマーク制度は、第三者が個人情報保護法の順守する個人情報保護マネジメントシステム(PMS)が構築・運用、維持・改善されているか客観的に評価する制度であり、個人情報保護法への適合性はもちろんのこと、自主的により高い保護レベルのPMSを確立し、運用していることをアピールすることができます。
個人情報保護マネジメントシステム(PMS)
個人情報保護マネジメントシステム(PMS)とは、個人情報保護について「Plan(計画)、Do(実施)、Check(点検)、Act(処置)」というPDCAサイクルを継続的に実行することにより、組織が目標を達成するしくみのことです。このPDCAサイクルを回すことによって継続的改善を果たすことを目的に構築・運用指針の要求事項は構成されています。
JISQ15001規格は、ISO27001(情報セキュリティマネジメントシステム)を引用規格として策定され、ISO9001(品質マネジメントシステム)やISO14001(環境マネジメントシステム)といった、ISOマネジメントシステムと共通した考え方を取り入れています。
Ⅱ. プライバシーマーク取得までの流れ
| 条項番号 | 要求事項 | |
| 4.組織の状況 | 4.1 | 組織及びその状況の理解 |
| 4.2 | 利害関係者のニーズ及び期待の理解 | |
| 4.3 | 個人情報保護マネジメントシステムの適用範囲の決定 | |
| 4.4 | 個人情報保護マネジメントシステム | |
| 5.リーダーシップ | 5.1 | リーダーシップおよびコミットメント |
| 5.2 | 方針 | |
| 5.3 | 役割、責任及び権限 | |
| 6.計画策定 | 6.1 | 個人情報の特定 |
| 6.2 | リスク及び機会への取り組み | |
| 6.3 | 個人情報保護目的及びよれを達成するための計画策定 | |
| 6.4 | 変更の計画策定 | |
| 7.支援 | 7.1 | 資源 |
| 7.2 | 力量 | |
| 7.3 | 認識 | |
| 7.4 | コミュニケーション | |
| 7.5 | 文書化した情報 | |
| 8.運用 | 8.1 | 運用の計画及び管理 |
| 8.2 | 個人情報保護リスクマネジメント | |
| 8.3 | 個人情報保護リスク対応 | |
| 9.パフォーマンス | 9.1 | 監視、測定、分析及び評価 |
| 9.2 | 内部監査 | |
| 9.3 | マネジメントレビュー | |
| 10.改善 | 10.1 | 継続的改善 |
| 10.2 | 不適合及び是正処理 | |
| 附属書A(規定) | 個人情報保護に関する管理策 | |
構築・運用指針の構成
「構築・運用指針」は、J.1~J.11の章立てで構成されており、各タイトルの後にカッコ書きで「JISQ15001」の本文と附属書Aの要求事項(実施すべき内容)と関連付けられています(表2)。
「構築・運用指針」のJ.1~J.7はマネジメントシステムに関する要求事項、J.8~J.11は個人情報保護法に準拠した個人情報の取り扱いについての要求事項が規定されています。
(表2)構築・運用指針の構成
| 項番 | タイトル | 項番 | タイトル |
| J.1 | 組織の状況(表題) | J.8 | 取得、利用及び提供に関する原則(表題) |
| J.1.1 | 組織及びその状況の理解(4.1) | J.8.1 | 利用目的の特定(A.1) |
| J.1.2 | 利害関係者のニーズ及び期待の理解(4.2) | J.8.2 | 適正な取得(A.4) |
| J.1.3 | 法令、国が定める指針その他の規範(4.1) | J.8.3 | 要配慮個人情報などの取得(A.5) |
| J.1.4 | 個人情報保護マネジメントシステムの適用範囲の決定(4.3) | J.8.4 | 個人情報を取得した場合の措置(A.6) |
| J.1.5 | 個人情報保護マネジメントシステム(4.4) | J.8.5 | J.8.4のうち本人から直接書面によって取得する場合の措置(A.7) |
| J.2 | リーダーシップ(表題) | J.8.6 | 利用に関する措置(A.2、A.3) |
| J.2.1 | リーダーシップ及びコミットメント(5.1) | J.8.7 | 本人に連絡又は接触する場合の措置(A.8) |
| J.2.2 | 個人情報保護方針(5.2.1、5.2.2) | J.8.8 | 個人データの提供に関する措置(A.14) |
| J.2.3.1 | 組織の役割、責任及び権限(5.3.1) | J.8.8.1 | 外国にある第三者への提供の制限(A.15) |
| J.2.3.2 | 人情報保護管理者と個人情報保護監査責任者(5.3.2) | J.8.8.2 | 第三者提供に係る記録の作成等(A.16) |
| J.2.4 | 管理目的及び管理策(一般)(4.4) | J.8.8.3 | 第三者提供を受ける際の確認等(A.17) |
| J.3 | 計画(表題) | J.8.8.4 | 個人関連情報の第三者提供の制限等(A.18) |
| J.3.1.1 | 個人情報の特定(6.1) | J.8.9 | 匿名加工情報(A.28) |
| J.3.1.2 | リスク及び機会に対処する活動(一般)(6.2.1) | J.8.10 | 仮名加工情報(A.27) |
| J.3.1.3 | 個人情報保護リスクアセスメント(6.2.1、6.2.2) | J.9 | 適正管理(表題) |
| J.3.1.4 | 個人情報保護リスク対応(6.2.1、6.2.3) | J.9.1 | 正確性の確保(A.9) |
| J.3.2 | 個人情報保護目的及びそれを達成するための計画策定(6.3) | J.9.2 | 安全管理措置(A.10) |
| J.3.3 | 計画策定(6.3) | J.9.3 | 従業者の監督(A.11) |
| J.3.4 | 変更の計画策定(6.4) | J.9.4 | 委託先の監督(A.12) |
| J.4 | 支援(表題) | J.10 | 個人情報に関する本人の権利(表題) |
| J.4.1 | 資源(7.1) | J.10.1 | 個人情報に関する権利 |
| J.4.2 | 力量(7.2) | J.10.2 | 開示等の請求等に応じる手続(A.24、A.25) |
| J.4.3 | 認識(7.3) | J.10.3 | 保有個人データ又は第三者提供記録に関する事項の周知など(A.19) |
| J.4.4.1 | コミュニケーション(7.4.1) | J.10.4 | 保有個人データの利用目的の通知(A.19、A.23) |
| J.4.4.2 | 緊急事態への準備(7.4.3、A.13) | J.10.5 | 保有個人データ又は第三者提供記録の開示(A.20、A.23) |
| J.4.5.1 | 文書化した情報(一般)(7.5.1) | J.10.6 | 保有個人データの訂正、追加又は削除(A.21、A.23) |
| J.4.5.2 | 文書化した情報の管理(7.5.3) | J.10.7 | 保有個人データの利用又は提供の拒否権(A.22、A.23) |
| J.4.5.3 | 文書化した情報(記録を除く。)の管理(7.5.2) | J.11 | 苦情及び相談への対応(表題) |
| J.4.5.4 | 内部規程(7.5.1.1) | J.11.1 | 苦情及び相談への対応(7.4.2、A.26) |
| J.4.5.5 | 文書化した情報のうち、記録の管理(7.5.1.2) | ||
| J.5 | 運用(表題) | ||
| J.5.1 | 運用(8.1、8.2、8.3) | ||
| J.6 | パフォーマンス評価(表題) | ||
| J.6.1 | 監視、測定、分析及び評価(9.1) | ||
| J.6.2 | 内部監査(9.2.1、9.2.2) | ||
| J.6.3 | マネジメントレビュー(9.3.1、9.3.2、9.3.3) | ||
| J.7 | 改善(表題) | ||
| J.7.1 | 不適合及び是正処置(10.2) | ||
| J.7.2 | 継続的改善(10.1) |
Ⅲ. プライバシーマーク認証取得のメリット
- 個人情報の漏えいリスクが減少する
- 適切な個人情報取扱いにより、消費者からの信頼を得られる
- 取引先からの信用が拡大する
- 従業員の個人情報保護の意識が向上する
- プライバシーマーク取得が条件になっている入札案件に参加できる
Ⅳ. テクノソフトの取得支援の特徴
- 業態に合った適切な個人情報の取扱いができる体制作りを目指します。
- 個人情報の取扱いに関連するリスクアセスメントをどのように実施すれば良いか、また業態に合った運営体制確立に向けてのアドバイスを行ないます。
- 個人情報を業務上活用することを前提とした、取扱い要領・ルール等を明確にした上で、他のマネジメントシステム(ISO9001/14001/27001等)と整合した効率的なマネジメントシステムの確立を目指すアドバイスを行ないます。
- 主だった規程文書類は参考としてサンプル文書を活用し、作業の負荷軽減を図るとともに、無理・無駄のないマネジメントシステムの構築を支援いたします。
Ⅴ. プライバシーマーク認証取得までの流れ
(表3) プライバシーマーク認証取得スケジュールの例
| 支援項目 / 活動項目 | 経過月 | |||||||||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | |
| プライバシーマーク規格要求事項の理解 | ■ | |||||||||||
| 組織の状況の理解 | ■ | |||||||||||
| 個人情報保護方針、個人情報保護マニュアル、規定などの整備 | ■ | ■ | ■ | ■ | ||||||||
| 個人情報の特定、リスク認識、安全管理処置の決定 | ■ | ■ | ■ | |||||||||
| 全社員への教育 | ■ | |||||||||||
| システムの運用 | ★ | ★ | ★ | ★ | ★ | ★ | ★ | ★ | ||||
| ・内部監査員養成 | ■ | |||||||||||
| ・内部監査実施 | ★ | |||||||||||
| ・マネジメントレビュー | ★ | |||||||||||
| 審査対策 | ■ | |||||||||||
| 審査後のフォロー | ■ | ■ | ||||||||||
| ■:コンサルタントが支援 ★:貴社で実施 ●:審査対応 | ||||||||||||
| 審査 | ● | |||||||||||
| 書類審査 | ● | |||||||||||
| 現地調査 | ● | |||||||||||
| 登録 / 公表 | ● | |||||||||||