ISO9001,14001,27001 コンサルタント タテックス有限会社 - PMSシステム構築ステップ
JIPDECの発行する『JISQ15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン』を参考にして、PMSシステム構築のステップの要点をまとめると以下のようになる。

ステップ1:個人情報保護方針を定め文書化する

社長は、個人情報の収集、利用、提供等に関する保護方針を定める。
個人情報保護方針に定めなければならないことは、
  1. 何のために個人情報保護活動を行うのか
  2. 個人情報保護のためにどのようなことをするのか
  3. 個人情報の取得、利用及び提供に関すること(目的外利用を行わないこと及びそのための措置を講じることを含む)
  4. 個人情報に関する法令、国が定める指針その他の規範の順守に関すること。
  5. 個人情報の漏えい、滅失又は毀損の防止及び是正に関すること
  6. 苦情及び相談への対応に関すること
  7. 個人情報保護マネジメントシステムの継続的改善に関すること
  8. 代表者の氏名
 なお、社長は、この方針を文書化し、内外に公表する必要がある。社内にも周知徹底するとともに、一般公開はホームページに掲載したり、リーフレット等に印刷する等の措置を講じる必要がある。

ステップ2: PMS策定のための組織を作る

社長は、組織の役員及び従業者等で構成するプロジェクトチーム(以下、「PMS委員会」という。)を組織し、個人情報保護方針に基づいて個人情報取扱いのマネジメントシ
ステム構築を行なう。また、社長は、各部門に対して、 PMS委員会への協力を指示する。

ステップ3: PMS策定の作業計画をたてる

 PMS委員会は、今後の作業スケジュールをたて、関係者に通知するとともに、協力を要請する。作業スケジュールは、以下のステップを考慮して立案する。

ステップ4:個人情報保護方針を組織内に周知する

PMS委員会は、社長が定めた個人情報保護方針について、組織の全ての従業者に周知する。
周知に当たっては、個人情報を保護することの重要性、利点及び個人情報が漏えい等した場合に予想される結果等を説明し、理解させることも必要である。

ステップ5:個人情報を特定する

PMS委員会は、関係者の協力を得て自社内で取扱っている個人情報を特定する。この作業の意味は、このマネジメントシステムにおいて保護の対象となるものを明確にすることである。
特定にあたっては、当該個人情報の利用目的、入手経路、社内での取扱経路(取扱部署)、保管(一時保管も含む)場所、保管形態(電子媒体、紙等)、保管期間、廃棄方法等について台帳などにまとめることが一般的である。
PMSはリスクマネジメントシステムの一種である。まず、リスクマネジメントの対象となるものを洗出し、明確にすることがシステム構築の出発点となる。

ステップ6:法令、国が定める指針その他の規範を特定する

事業者は、自身の個人情報の取扱いに関する法令、国が定める指針その他の関連規範の有無について確認する。
事業者の個人情報の取扱いは、当該事業に関連する法令や国が定める指針等に規定がある場合には、 JISQ15001(以下、「JIS」という。)に優先して適用されなければならない。なお、その他の規範として考えられる、いわゆる業界ガイドライン等に関しては、これも JISと併せて順守する必要があるが、JISの要求事項のレベルよりも下回っている場合には、JISが優先される。

ステップ7:個人情報のリスクを認識し、分析し対策を検討する

PMS委員会は、ステップ5により特定した個人情報について、その個人情報が自社に入ってから出て行くまで(いわゆる個人情報のライフサイクル)を明らかにし、そのライフサイクルの各局面(取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄)ごとに、想定されるリスクを全て洗い出す。想定されるリスクには、個人情報への不正なアクセス、個人情報の紛失、破壊、改ざん及び漏えいなどだけでなく、ステップ6で明らかになった個人情報の取扱いに関する法令、国が定める指針及びその他の規範に対する違反や、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などが含まれる。~
ライフサイクルが同じものはパターン化してまとめれば良い。~
なお、社内にある個人情報をいかに守るか、という観点からのみのリスクの認識、分析及び対策では足りないことに注意する必要がある。個人情報は、たとえば、取得や利用の局面において本人の同意が得られていないというリスクがあるが、これは情報資産の保護という観点からのみでは認識できないリスクである。このように、個人情報の保護においては、「守る」だけでなく適切な取扱いも求められる点に注意する必要がある。
~
洗い出して認識したリスクについては分析し、評価に応じた合理的な対策を検討することになる。なお、「合理的」という言葉の解釈が非常に曖昧なために、事業者においてどの程度のリスク対策が「合理的」と判断できるかという問題がある。~
「合理的な リスク対策」とは、個人情報の取扱いに関するリスクが明確に認識されており、そのリスクに対するさまざまな予防措置を検討して、その中で当該事業者が取り得る最良の措置を講じることである。~
したがって、Pマーク制度においても、合理的なリスク対策について、各事業者に共通な一律の基準を特に示していない。事業者の規模や事業内容に応じ、経済的に実行可能な範囲の対策を検討すれば良い。~
「機械的なシステムを導入したいが、資金的な余裕がないから当面は人的な運用でカバーする」ということも、それは事業者の事情によるわけであるから、当然あり得る選択である。~
~
“事業者が取り得る”とするのは、検討したさまざまな対策の中から、費用、構築の容易さ、運用の容易さ、効果等の観点から総合的に検討して事業者自身が最適と判断した対策が実効性等の面からも効果的と考えられるからである。~
また、1つのリスクへの対策は、幾つかの対策を組合せることによって対応できるものが多いことから、技術的対策、物理的対策、人的管理的対策から多方面の検討が必要である。このような過程を経て作り上げたリスク対策は、十分に合理的である。~
~
 なお、リスクへの対策を講じたとしても全てのリスクが無くなる訳ではない。現状で可能な限りの対策を講じた上で、未対応部分については残存リスクとして把握し、管理する必要がある。残存リスクは認識していることが重要である。~
それから、『ライフサイクルのどの局面でどのようなリスクを認識し、どのような対策を講じたのか』という関連付けを明確にしておく必要がある。~
リスクは常に変動するものであり、定期的かつ必要に応じた随時の見直しが必要であるが、この関連付けが明確でなければ、メンテナンスができなくなるからである。
このステップ7が確実に実施されていれば、講じることとした対策をまとめる。規格で求めている内部規程などを作成する。~
このステップ5〜7は、リスクマネジメントシステムとしてのPMSの根幹である。ここが適正に実施されれば半分以上は構築されたようなものである。逆にここが不十分だと、後が適正に実施されても何にもならない。~
~

ステップ8:必要な資源を確保する

PMS委員会は、ステップ7の実施により、 PMS構築のために必要な経営資源(ヒト、モノ、 カネ、情報)が判断できる。それに基づき、各部門及び階層における個人情報を保護するための体制の整備を計画し、社長に提出する。なお、資源を確保する段階で、計画の見直しが発生し、それがリスク対策にフィードバックされることもあり得る。社長は、体制の整備計画に基づき、経営資源を配分し任命する。同時に、運用の開始時期を定め全従業者に周知する。

ステップ9: PMSの内部規程を策定する

ここではステップ8までの経過に基づき、実施すると決めたことを内部規程としてまとめる。 PMSは自社のマネジメントシステムであり、事業者の業種や規模や既存の他のシステムとの整合性があって実効性のある、身の丈に合ったものでなければならない。したがって、内部規程には定められた構成(雛型)は存在しない。内部規程ができてからそれに実体をあわせるのではなく、実体ができてからそれを内部規程化するのが順序である。内部規程は事業者にとって最も運用しやすい構成で作成すると良い。
PMSの実施にあたり、最低限、JIS規格の求める規定が必要である。全ての従業者が内部規程を順守して個人情報の保護を実現するためには、具体的な手順、手段等が詳細に規定されていなければならない。
  1. 個人情報を特定する手順に関する規定
  2. 法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
  3. 個人情報に関するリスクの認識、分析及び対策の手順に関する規定
  4. 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
  5. 緊急事態(個人情報が漏えい、滅失又はき損をした場合)への準備及び対応に関する規定
  6. 個人情報の取得、利用及び提供に関する規定
  7. 個人情報の適正管理に関する規定
  8. 本人からの開示等の求めへの対応に関する規定
  9. 教育に関する規定
  10. 個人情報保護マネジメントシステム文書の管理に関する規定
  11. 苦情及び相談への対応に関する規定
  12. 点検に関する規定
  13. 是正処置及び予防処置に関する規定
  14. 代表者による見直しに関する規定
  15. 内部規程の違反に関する罰則の規定

担当部署に依存する詳細な部分は、当該担当部署に協力要請して規定させることがPMSの実効性を高めるためには望ましい。
その際には、事前に担当部署に対して個人情報保護方針、基本規定を十分に説明し理解させておくことが必須である。
当該部署により規定された部分については、 PMS委員会が個人情報保護方針、基本規程との整合性を十分に確認し、不整合がある場合は担当部門の間で協議して改善していかなければならない。なお、担当部署を巻き込んだ詳細規程の作成方法を採ることによって、PMS策定の過程において、関係部門に個人情報保護方針、基本規程を周知することができるという効果も期待できる。
なお、詳細規程については、既存の規程(例えば、罰則を規定した就業規則等)を参照して適用することも可能である。また、上記以外にも当該事業者の実情に応じて必要な事項を規定することが望ましい。事業者が所属する業界団体等が定めた個人情報保護に関するガイドライン、及び事業を規定した業法等も参考にすることが必要である。
先にも述べたとおり、業法等の法令がある場合はJISに優先するため、規程に反映しておくことが求められる。
内部規程がJISの要求事項に反しないように適合性を持たせて運用する。その後の運用でも規定が適合性を保つように維持していかなければならない。

ステップ10: PMSを周知するための教育を実施する

教育に関する規定に定めた手順に従い、研修担当者が教育を実施する。研修担当者は、研修計画に基づき、PMS委員会の協力を得て研修を実施する。研修後は研修効果の確認を行うと共に研修記録を残し、次回以降の研修に反映する資料とする必要がある。

ステップ11: PMSの運用を開始する

これまでのPMSシステム構築段階を経て、初めてPMSの運用が可能になる。

ステップ12: PMSの運用状況を点検し改善する

内部監査の責任者は、 PMS運用開始後一定期間を経過した時点で、個人情報保護の状況について点検し評価する。ここでの内部監査は、 PMS運用開始後に効果的な運用ができる体制及び PMSとなっているかについて確認するために実施する。監査責任者は、評価の結果を監査報告書に取りまとめ、社長に報告する。~
PMS委員会は、内部監査の結果を受けて代表者から出された見直し指示に従い、 PMSの改善を実施する。必要な改善措置の後、PMS文書に改善内容を反映し、また、改善の内容、改善日を改善履歴として記録する必要がある。

ステップ13: PMSの見直しを行う

経営者はマネジメントレビューを定められた手順に従い実施する。現状のPMSで適切であるかを検討し、必要に応じて改善を実施する。

以上がシステム構築・運用の13のステップである。プライバシーマークの認定申請においては、申請時にこのステップ13まで実施していることが必要である。

御見積りは信頼と実績のタテックスまでお問合せください。


   お問合せは、ここをクリック→お問合せ
~
~