個人情報保護マネジメントシステム
目次
個人情報保護マネジメントシステムとは
個人情報保護マネジメントシステム
(PMS
*1)は、PDCA
サイクル(*2)という管理手法を使って個人情報を適切に管理する仕組みで、ISO
/IEC 27001(情報セキュリティマネジメントシステム)との組合せ審査で取得する「JIS Q 15001
認証
サービス」と、単独審査で取得する「プライバシーマーク(Pマーク)認証」(*3)の
認定
基準となる仕組みです。
両認証の相違点
≪JIS Q 15001 認証サービス≫プライバシーマーク(Pマーク)認証
- 有効期間:3年更新(その間1年ごとに定期審査)
- 審査機関:JQA(証書:JQA発行)
≪プライバシーマーク(Pマーク)認証≫
- 有効期間:2年更新
- 審査機関:指定審査機関(証書:JIPDEC発行)
- *1 Personal Information Protection Management Systems、略称PMS
- *2 PDCAサイクル:計画(Plan)-実施(Do)-評価(Check)-改善(Act)
- *3 「3. プライバシーマーク制度」参照
PMSを構築するメリット
以下に、PMSを構築してどのようなメリットがあるのか記載します。
利害関係者の信頼性向上
JIS Q 15001に適合したPMSを構築し体制を確立することで、効率よく、適正に運用することが容易になります。改正法の規定に準拠した適正な個人情報の取り扱い事業者として利害関係者から信頼を得ることが可能になります。
法令遵守した組織づくり
大企業による不正・不祥事が後を絶たず、法令遵守(コンプライアンス)への対応が企業において大きな課題となっています。中小企業においても、適任者不在、認証取得・更新費用の負担、業務負荷の増大などから社内ルールや各種手順書の整備が不十分な状況にある企業は少なくないでしょう。
JIS Q 15001:2017に適合したPMSを構築することによって組織的な管理体制の下地ができます。事業活動における法令の確認・対応など法令遵守への取り組みも管理目標に組み入れて計画を立て、PDCAサイクルを継続的に実施することで、全社員が法令遵守を意識し、経営の最終目標である企業の存続も達成可能となります。
統制の取れた業務運用体制の確立
PMSを構築することで社内ルールや作業手順などが文書化され、従業員への教育体制の充実、従業員間において業務・技術的な知識が共有化され、統制の取れた業務運用体制が確立されます。
マネジメントシテスム統合による運用管理コストの低減
JIS Q 15001:2017は、附属書SLが採用され、他のマネジメントシステムと共通の規格章立てとなり、用語・表記が統一されました。規格事項の共通化により、複数のマネジメントシステムを運用する場合、導入・運用の効率化、業務負荷や運用(維持)にかかるコストの低減が可能です。
プライバシーマーク制度
個人情報保護に関連して、“プライバシーマーク(Pマーク)”という認証制度があり、事業者は個人情報を適切に取り扱い、個人情報を保護するための体制を確立して指定審査機関より評価された場合に「Pマーク(ロゴ)」の使用が認められる制度です。
PMSは、このプライバシーマークを取得する場合にも個人情報の管理体制づくりで必要となる仕組みです。Pマークを取得する場合、「JIS Q 15001(*4)」規格に適合する必要があり、JIS Q 15001に基づいて、個人情報を適切に利用・保護するためにマネジメントシステム(PMS)を構築し、計画に沿ってPDCAサイクルを実施してPMS方針および管理目標が達成するよう継続的改善活動を行います。
また、Pマークの取得および運用・維持することで個人情報漏えい等の情報セキュリティリスクの低減や、取り組みの成果として、顧客や取引先などの利害関係者に対して信頼性が向上し安心感を与えることが可能になります。
*4 Pマークの新規格について
Pマーク規格は、JIS Q 15001:2006が2017年12月20日に改正(*5)され、
最新版はJIS Q 15001:2017となります。
*5 改正による規格構成の変更点ついて
(後述)「4. JIS Q 15001:2017への改正による規格構成の変更点」参照
PMS(JIS Q 15001:2017)におけるPDCAサイクルの考え方
- 1) 組織(トップマネジメント)は、まず個人情報保護に関する明確な方針と目的を定め、目的達成するために役割と責任を決めます。
- 2)管理目標を達成するための計画(Plan)を立てます。
- 3) 計画やリスクアセスメントを実施(Do)します。
- 4) 管理目標が計画どおりに達成できているか点検・評価(Check)します。
- 5)点検・評価の結果、改善が必要な問題点等について更に見直し(Action)ます。
規格改正による変更点
事業者(組織)は、PMSを新規構築およびPマーク更新をする場合、新規格JIS Q 15001:2017への対応が必要となるため、以下に改正点について記載します。
規格構成の共通化
JIS Q 15001:2017は、附属書SLの上位構造が採用され、他のマネジメントシステムと共通の規格章立ての基本構造となり、以下の通りです。情報セキュリティマネジメントシステムISO/IEC 27001:2013(JIS Q 27001:2014)の概念も導入されています。
箇条構成
- 0. 序文
- 1. 適用範囲
- 2. 引用規格
- 3. 用語及び定義 ※両規格において相違点あり
- 4. 組織の状況
- 5. リーダーシップ
- 6. 計画
- 7. 支援
- 8. 運用
- 9. パフォーマンス評価
- 10. 改善
本規格全体の構成変更点
□JIS Q 15001:2017
| 構成要素 | 変更事項 |
|---|---|
| 本文 | マネジメントシステムに関する要求事項及び用語の定義※個人情報の取り扱いに関する要求事項との分離 |
| 附属書A(規定) | 個人情報の取り扱いに関する要求事項※JIS Q 15001:2016+新規格(2017)で新たに追加された要求事項 |
| 附属書B(参考) | 附属書Aの要求事項を理解するための補足事項※JIS Q 15001:2016の解説+新規格(2017)で追加・修正事項の反映 |
| 附属書C(参考) | 附属書Aの安全管理措置に関する要求事項の参考となる包括的な管理策一覧を記載 |
| 附属書D(参考) | 新審査基準へ移行するための参考情報※JIS Q 15001:2016と新規格(2017)の対応表 |
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい