SAAJTOP 目次 1適用範囲〜 2計画〜 3資源〜 4実施〜 5直接書面取得〜 6提供〜 
7匿名加工情報 8個人情報に関する権利 9認識 10パフォーマンス評価〜 
「PMS要求事項【JIS Q15001:2017】と「個人情報取扱規程」 管理策1   
  特定非営利活動法人 日本システム監査人協会 個人情報保護監査研究会
https://www.saaj.or.jp/shibu/kojin.html
主査:斎藤由紀子
   ▲ 目次      1.適用範囲〜方針          ▼A.3.3 計画〜

個人情報保護マネジメントシステム-要求事項【JIS Q15001:2017】の附属書A(規定)管理目的及び管理策には、旧版(2006年版)の本文に存在していた、「〜すること」等の管理策が示されており、2018年8月1日より、プライバシーマーク付与適格性審査においては、附属書A(規定)が基準となります。

参考:2018年1月12日発表「プライバシーマーク付与適格性審査基準」
 https://privacymark.jp/system/operation/jis_kaisei/index.html

また、附属書B(参考)には、附属書Aの管理策に関する補足が記載されています。これは2006年版規格解説に当たるもので、「〜することが望ましい」ことが示されています。個人情報保護マネジメントシステム(以下附属書BにおいてPMSと呼ぶ)をより効率的に確実に運用するため、附属書Bはおおいに参考になります。

今回から、ページの許す限り、本文、附属書A(規定)及び附属書B(参考)を考察し、併せてJIS適合性を満たすPMS文書の事例として「3300個人情報取扱規程」のサンプルを見ていきます。 ※ この連載を基にしたHTML版に「連載1」から公開を開始しました。   

https://www.saaj.jp/03Kaiho/saajpmsJISQ15001_2017/000JISQ15001_2017.html

PMS監査研究会のコメントは、事業者が「具体的にどうすればよいか」を判りやすく伝えるため、やや断定的な表現にしていますが、事業者の状況によっては、必ずしも必要でない場合もあることをご理解ください。又、2018年5月からスタートする欧州連合(EU)一般データ保護規則(GDPR)の影響もあり、「具体的にどうすればよいか」も大きく変化していくことが考えられます。 今後プライバシーマーク審査基準の確定及び変化によって、HTML版で訂正していきます。
引用:日本規格協会「日本工業規格JIS Q15001:2017個人情報保護マネジメントシステム要求事項」
赤字:【2006年版JIS】から追加、変更となった規格
青字:PMS監査研究会のコメント
個人情報保護マネジメントシステム-要求事項 JIS Q15001:2017

1.        

本文

適用範囲

この規格は、組織が、自らの事業の用に供している個人情報に関する、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、改善するための要求事項について規定する。この規格が規定する要求事項は、種類または規模を問わず、全ての組織に適用できることを意図している。この組織は、個人情報の保護に関する法律(平成15年法律第57号)(以下、個人情報保護法という。)に定める個人情報取扱事業者を意味する。

【Pマーク審査対応のポイント】

  • PMSの適用範囲は、2006年版JISと変更なく、事業者単位である。
  • “事業の用に供している”の“事業”とは、一般社会通念上事業と認められるものをいい、営利事業だけを対象とするものではない。
  • 従業者の個人情報は、事業の用に供している個人情報である。

【3300個人情報取扱規程】サンプル

1. 本規程の目的

本規程は、「日本工業規格JIS Q15001:2017個人情報保護マネジメントシステム要求事項」(以下、JIS Q15001:2017、又は規格と呼ぶ)に基づき、個人情報保護マネジメントシステム(以下PMSと呼ぶ)運用の具体的な手順を定める。

1.1 適用範囲

PMSは、当社の全従業者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員、取締役、執行役、理事、監査役、監事、派遣社員、受入出向社員)に適用する。 1.2 適用対象 PMSは、当社の事業の用に供しているすべての個人情報を適用対象とする。

1.2 適用対象

PMSは、当社の事業の用に供しているすべての個人情報を適用対象とする。

  
個人情報保護マネジメントシステム-要求事項 JIS Q15001:2017
2. 引用規格 ・・・省略

3.        

本文

用語及び定義

この規格で用いる主な用語及び定義は、個人情報保護法による。その他の主な用語及び定義は、次による。

  (以下省略)

【Pマーク審査のポイント】

  • 用語は個人情報保護法による。とされたことで【JIS Q15001:2017】では、PMSとしての用語が省略された。

【3300個人情報取扱規程】サンプル

2.用語の定義

PMSにおいて使用する用語は、個人情報の保護に関する法律(2003年5月30日法律第57号、2016年5月27日第51号改定)、およびJIS Q15001:2017の3 (用語及び定義)に準じ次の通りとする。

2.1 個人情報(法)

個人に関する情報であって、特定の個人を識別できるもの。他の情報と容易に照合することによって特定の個人を識別することができることとなる情報、および個人識別符号を含む。

2.2 個人識別符号(法)

政令で定めるものであって、顔認識・指紋データ等の生体情報等、特定の個人を識別することができるもの。もしくは、個人に発行されるカード等に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、特定の本人を識別することができるものをいう。

2.3 要配慮個人情報(法)

次に示す事項のいずれかの種類を含む個人情報をいう。

a)

人種、信条、社会的身分

b)

病歴

c)

犯罪の経歴

d)

犯罪により害を被った事実

e)

次に掲げる事項のいずれかを内容とする記述等(本人の病歴又は犯罪の経歴に該当するものを除く。)とする。
・身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること。
・本人に対して医師等により行われた疾病の予防及び早期発見のための健康診断等の結果
・健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
・本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
・本人を少年法第三条第一項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、 保護処分その他の少年の保護事件に関する手続が行われたこと。

e)

その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの

2.4 個人情報データベース等(法)

個人情報を含む情報の集合物であって、検索することができるように体系的に構成したもの。

2.5 個人データ(法)

個人情報データベースを構成する個人情報をいう。

2.6 組織(JIS 3.1)

責任及び権限をもつトップマネジメントが存在し、自らの目的を達成するため、責任、権限及び相互関係を伴う独自の機能をもつ、個人又は人々の集まり。

2.7 本人(法、JIS 3.4)

個人情報によって識別される特定の個人。PMSでは個人情報は「本人のもの」と認識する。

2.8 本人の同意

本人が、個人情報の取扱いに関する情報を与えられたうえで、自己に関する個人情報の取扱いについて承諾する意思表示のこと。子ども又は事理を弁識する能力を欠く者の場合は、代理人の同意も得なければならない。

2.9 代理人

法律で定められた親権者、又は家庭裁判所で認められた後見人、本人が選定した任意代理人などをいう。

2.10 トップマネジメント(JIS 3.5)

当社のトップマネジメントは、代表取締役社長とする。ただし、“代表者”もしくは“社長”と言い換えることができる。

2.11 個人情報保護管理者(JIS 3.41)

トップマネジメントによって組織の内部に属する者の中から指名された者で、PMSの計画・実施及び運用に関する責任及び権限をもつ者。トップマネジメントにPMSの見直し及び改善の基礎として、PMSの運用状況を報告する。なお、略称として“PMS管理者”を用いることができる。

2.12 個人情報保護監査責任者(JIS 3.42)

トップマネジメントによって組織の内部に属する者の中から指名された者で、公平、かつ客観的な立場で監査の実施及び報告を行う責任と権限をもつ者。なお、監査役は監査責任者を兼ねることはできない。

2.13 個人情報保護マネジメントシステム

組織が、自らの事業の用に供する個人情報について、その有用性に配慮しつつ、個人の権利利益を保護するための方針、体制、計画、実施、点検及び見直しを含むマネジメントシステム。

2.14 不適合

個人情報保護法をはじめとする法令、規範および、JIS Q15001:2017規格の要求を満たしていないこと。

2.15 提供

提供には以下の概念がある。

a)

委託

自社と同等の安全管理措置が講じられている組織に個人情報を受け渡す。個人情報の管理責任は委託元にある。

b)

第三者提供

個人情報を渡したあとの管理責任が第三者に渡る。あらかじめ本人の同意を得ないで第三者提供を行うことは個人情報保護法に違反する。

c)

共同利用

個人情報を複数の組織と共同で利用する。本人の同意を得た後に共同利用者を追加する場合は、再度本人の同意が必要。

2.16 保有個人データ(法)

開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。なお、6か月以内に消去することとなるものについても、当社は保有個人データとして取り扱う。なお受託した個人情報については、当社に開示権限は無い。

2.17 雇用管理情報

当社の全従業者、従業者になろうとした者、並びに過去において従業者であった者の、雇用管理のために取得、保管、利用等する個人情報をいい、病歴、収入、家族関係等の情報を含む、従業者等の個人に関するすべての情報をいう。

2.18 個人番号関係事務

個人番号関係事務に係る用語は、「3305個人番号関係事務規程」第2条に定める。

2.19 匿名加工情報(法)

個人情報に含まれる記述等の一部を、個人情報委員会規則に従って、復元することのできない方法により削除、あるいは他の記述等に置き換え、もしくは、個人識別符号の全部を削除することにより、特定の本人を識別することができないようにしたものをいう。

2.20 匿名加工情報取扱事業者(法)

匿名加工情報を事業の用に供している者をいう。 当社は、匿名加工情報取扱事業者ではない。

表A.1-管理目的及び管理策
A.3 管理目的及び管理策

A.3.1 一般  (2006:3.1)
目的 個人情報保護マネジメントシステムの運用を行うため

A.3.1.1

 

付属書A

一般

この管理策に規定するA.3.2からA3.8は、トップマネジメントによって権限を与えられた者によって、組織が定めた手順に従って承認されなければならない。

付属書B

“トップマネジメントによって権限を与えられた者”とは、原則として個人情報保護管理者を指す。ただし、承認する案件の軽重は、経営判断を要するものから現場の担当者の判断に任せるものまで様々であり、個人情報保護管理者以外のものが承認する場合もあり得る。

“組織が定めた手段”についても、承認する案件の軽重によって、経営層の決議を要するものから部署内の決済まで様々であると考えられる。

【Pマーク審査対応のポイント】

  • トップマネジメントへのインタビュー項目
    • a)個人情報保護目的を説明できること。(A.3.2.1)(2016:理念を明確にしていること)
    • b)内部向け個人情報保護方針を文書化した情報を、組織内に伝達し、必要に応じて、利害関係者が入手可能にするための措置を講じていること。(A.3.2.1)
    • c)外部向け個人情報保護方針を文書化した情報について、一般の人が入手可能な措置を講じていること。(A.3.2.2)
    • d)個人情報保護のための人的資源を説明できること(A.3.3.4)
    • e)マネジメントレビューのアウトプットには、継続的改善の機会及びPMSのあらゆる変更の必要性に関する決定を含んでいること。(A.3.7.3)(2016:リスク認識とその対応)
    • f)PMSを継続的に改善していること。(A.3.8)
  • 文書審査では、包括的に個人情報保護管理者等による承認手順を確認する。
  • 現地審査では、A.3.2からA.3.8の管理策について、承認を得たことが確認できる記録を確認する。

【3300個人情報取扱規程】サンプル

3.個人情報保護マネジメントシステム(PMS)

3.1 一般要求事項

当社は、個人情報保護マネジメントシステム(PMS)を確立し、実施し、維持し、かつ、改善する。本規程の3.2(個人情報保護方針)から3.8(是正処置)の承認については、3.3.4(資源、役割、責任及び権限)に定める。

A.3.2 個人情報保護方針  (2006:3.2)
目的 個人情報保護の理念を明確にし、公表するため。
  付属書B A.3.2の目的は、組織の個人情報保護の理念を明確にし、公表することであり、この場合の"個人情報保護の理念"とは、当該組織が個人情報も保護に取り組む姿勢及び基本的な考え方を示すが、本人の権利利益を尊重する意識を表したものとすることが望ましい。

A.3.2.1

付属書A

内部向け
個人情報保護方針

 

2006:3.2

トップマネジメントは、5.2.1e)に規定する内部向け個人情報保護方針を文書化した情報には次の事項を含めなければならない。

a) 事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること[特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下、“目的外利用”という。)を行わないこと及びそのための措置を講じることを含む。]。
b) 個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守すること。
c) 個人情報の漏えい、滅失又はき損の防止及び是正に関すること
d) 苦情及び相談への対応に関すること。
e) 個人情報保護マネジメントシステムの継続的改善に関すること。
f) トップマネジメントの氏名

トップマネジメントは、内部向け個人情報保護方針を文書化した情報を、組織内に伝達し、必要に応じて、利害関係者が入手可能にするための措置を講じなければならない。

付属書B

内部向け個人情報保護方針に、単に“事業内容及び規模を考慮して適切に取扱います”などと記載したり、本体 A.3.2.1のa)~e)の各事項の文言をそのまま記載することはA.3.2.1に適合しない。

A.3.2.1のa)においては、“特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下,目的外利用という)を行わないこと及びそのための措置を講じることを含む ”とされているが,これは本体の A.3.4.2.6 を遵守した対応を求めているものである。

A.3.2.1b)の“法令、国が定める指針その他の規範”については、B.3.3.2に示す。

A.3.2.1の“利害関係者”には、従業者のほか、例えば、委託先、協業相手などの取引先などが考えられる。

【Pマーク審査対応のポイント】

  • 内部向け個人情報保護方針には、方針の内容についての問い合わせ先掲載については問わない。
  • 外部向け個人情報保護方針(A.3.5.1b)のみでも良いが、その場合は、A.3.1.1を含むこと。

A.3.2.2 

付属書A

外部向け
個人情報保護方針

 

トップマネジメントは、外部向け個人情報保護方針を文書化した情報には、A.3.2.1に規定する内部向け個人情報保護方針の事項に加えて、次の事項も明記しなければならない。

a) 制定年月日及び最終改訂年月日
b) 外部向け個人情報保護方針の内容についての問い合わせ先

トップマネジメントは、外部向け個人情報保護方針を文書化した情報について、一般の人が知り得るようにするための一般の人が入手可能な措置を講じなければならない。
付属書B

外部向け個人情報保護方針は、A.3.2.2に基づき一般の人が知り得るようにするための措置が求められるため、容易に理解できる表現であることが望ましい。

A.3.2.2の、“一般の人が知り得るようにするための措置”としては、例えば、ウェブサイトによる公開が考えられる。 ウェブサイトをもたない場合は、例えば、会社パンフレットに記載し、受付カウンターに自由に持ち帰ることができるように用意しておくとともに、遠方からの問合わせに対しては、要望があればすぐに送付する体制を整えておくといった手段で差し支えない。

【Pマーク審査対応のポイント】

  • 組織のトップページから、外部向け個人情報保護方針へのリンクがあること
  • a)制定年月日及び最終改正年月日及び、b)外部向け個人情報保護方針の内容についての問い合わせ先を明記していること。 

【3300個人情報取扱規程】サンプル

3.2 個人情報保護方針

トップマネジメントは個人情報保護の理念を明確にし、次の事項を含む「3200個人情報保護方針」を定める。方針は従業者に教育および掲示によって周知し、また利害関係者や一般の人が入手できるように当社のホームページに掲載する。

a)

事業の内容および規模を考慮した適切な個人情報の取得、利用及び提供に関し、目的外利用を行わないことおよびそのための措置を講じること。

b)

個人情報の取扱いに関する法令、国が定める指針、その他の規範を遵守すること。

c)

個人情報の漏えい、滅失又はき損の防止および是正に関すること。

d)

苦情および相談への対応に関すること。

e)

PMSの継続的改善に関すること。

f)

トップマネジメントの氏名

g)

制定日および最終改定日

h)

個人情報保護方針の内容についての問合せ先

 
A.3.3 計画