PMS基本規程 ver.0.1

概要

目的

PMS基本規程(以下、「本規程」という。)は、 株式会社チェンジデザイン(以下、「当社」という。)が、自ら定めた個人情報保護基本方針のもと、事業活動全般と想定するリスクを考慮して、個人情報保護マネジメントシステム(以下、「PMS」という。)を確立し、実施し、維持し、かつ、改善するべく制定する。

本規程は、「日本工業規格JIS Q 15001:2017 個人情報保護マネジメントシステム要求事項」(以下、「JIS Q 15001規格」という。)に基づき、PMS運用の具体的手順を文書化するものである。

適用範囲(A.3.3.1)

PMSは、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)及び雇用関係にない従事者(取締役、執行役、理事、監査役、監事、派遣社員等)を含む、直接間接に当社の指揮監督を受けて当社の業務に従事している全従業者に適用する。

適用対象(A.3.3.1)

PMSは、当社が事業の用に供している全ての個人情報及び全ての業務を適用対象とする。

引用規格

適用規格

  1. 日本工業規格JIS Q 15001:2017 個人情報保護マネジメントシステム要求事項

用語及び定義

前提

本規程で使用する用語は、個人情報の保護に関する法律(以下、「個人情報保護法」という。)第2条、及びJIS Q 15001規程の3(用語及び定義)による。

当社固有の意味で使用する主な用語及び定義

当社固有の意味で用いる主な用語及び定義は、次による。

代表者

当社における最高位にある者として代表取締役を意味するものとし、JIS Q 15001規格のトップマネジメントに相当する者。当社のPMS活動を指揮し、計画及び結果に責任を持つ。

社員

当社と雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)及び役員。

PMS運用関係者

代表者、個人情報保護管理者、個人情報保護監査責任者、内部監査員及びPMS事務局を指す。

外部従業者

従業者のうち、社員を除く者。例えば、当社プロジェクト業務に従事するため当社内で業務を行う協力会社要員、派遣社員等。

業務責任者

所属部門長、プロジェクトマネージャ等、実施業務について責任を負うべき者。

緊急事態の報告先機関

個人データの漏えい等が発覚した場合の報告先を表し、当社の場合は、認定個人情報保護団体である「xxxxx」(Pマーク取得後に記載)を指す。

PMSイントラネット

当社のPMS活動に伴う情報を公開、共有するための社内サイト等を指す。

PMSデータベース

当社のPMS活動に伴う記録等を格納する社内データベース等を指す。

プロジェクト

開始日及び終了日をもち、調整され、管理された一連の活動から成り、時間、コスト及び資源の制約を含む特定の要求事項に適合する目標を達成するために実施される特有のプロセス(ISO 9000:2015品質マネジメントシステム-基本及び用語 3.4.2)。当社では、定常的に存在する内部組織とは別に、機動的、かつ、組織横断的に設けられるものを指す。

プロジェクトマネージャ

プロジェクトの当社内最高責任者。

モバイル機器

ノートパソコン、スマートデバイス(スマートフォン、タブレット等)、携帯電話等、持ち運ぶことができる情報端末機器。

組織の状況

組織及びその状況の理解

  1. 当社は、組織の目的に関連し、かつ、PMSの意図した成果を達成する組織の能力に影響を与える、外部及び内部の課題を決定する。

外部課題の決定

  1. 外部課題の決定には、次の事項等を考慮する。
    1. 国際、国内、地方又は近隣地域を問わず、社会、文化、政治、法律、規制、金融、技術、経済及び環境に関する要因
    2. 組織の目的に影響を与える、鍵となる原動力及び傾向
    3. 外部ステークホルダとの関係、並びに外部ステークホルダの認知、価値観、必要性及び期待
    4. 契約上の関係及びコミットメント
    5. ネットワークの複雑さ、及び依存関係

内部課題の決定

  1. 内部課題の決定には、次の事項等を考慮する。
    1. ビジョン、使命及び価値観
    2. 組織統治、組織体制、役割及びアカウンタビリティ
    3. 戦略、目的及び方針
    4. 組織の文化
    5. 組織が採用する規格、指針及びモデル
    6. 資源及び知識として理解される能力(例えば、資本、時間、人員、知的財産、プロセス、システム、技術)
    7. データ、情報システム及び情報の流れ
    8. 内部ステークホルダの認知及び価値観を考慮に入れた、内部ステークホルダとの関係
    9. 契約上の関係及びコミットメント
    10. 相互依存及び相互関連

利害関係者のニーズ及び期待の理解(A.3.3.2)

  1. 当社は、利害関係者のニーズ及び期待の理解について、次の事項を決定する。
    1. PMSに関連する利害関係者
    2. その利害関係者の、個人情報保護に関する要求事項
  2. 当社は、個人情報の取扱いに関する法令、国が定める指針、その他の規範(以下、「法令等」という。)を特定し参照できる手順を確立し、かつ、維持する。

個人情報保護マネジメントシステムの適用範囲の決定(A.3.3.1)

個人情報の特定

  1. 当社は、個人情報の取扱いに関する計画を策定するため、当社が事業の用に供する全ての個人情報を特定するための手順を確立し、かつ、維持する。
  2. 個人情報保護管理者は、個人情報を管理するための台帳を整備し、最新の状態で維持する。
  3. 当社は、特定した個人情報については、個人データと同様に扱うこととし、個人情報保護リスクに応じて、必要かつ適切な安全管理措置を講じる。

個人情報保護マネジメントシステム(A.3.1.1)

当社は、JIS Q 15001規格の要求事項に従って、PMSを確立し、実施し、維持し、かつ、継続的に改善する。

リーダーシップ

リーダーシップ及びコミットメント(A.3.3.4)

  1. トップマネジメントは、次に示す事項によって、PMSに関するリーダーシップ及びコミットメントを実証する。
    1. 内部向け個人情報保護方針及び個人情報保護目的を確立し、それらが組織の戦略的な方向性と両立することを確実にする。
    2. 組織のプロセスへの個人情報保護マネジメントシステム要求事項の統合を確実にする。
    3. 個人情報保護マネジメントシステムに必要な資源が利用可能であることを確実にする。
    4. 有効な個人情報保護マネジメント及び個人情報保護マネジメントシステム要求事項への適合の重要性を利害関係者に伝達する。
    5. 個人情報保護マネジメントシステムがその意図した成果を達成することを確実にする。
    6. 個人情報保護マネジメントシステムの有効性に寄与するよう人々を指揮し、支援する。
    7. 継続的改善を促進する。
    8. その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう、管理層の役割を支援する。

方針(A.3.2)

  1. トップマネジメントは、個人情報保護の理念を明確にし、公表するため、次の事項を満たす『個人情報保護方針』を定める。
    1. 事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること(目的外利用を行わないこと及びそのための措置を講じることを含む。)。
    2. 個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守すること。
    3. 個人情報の漏えい、滅失又はき損の防止及び是正に関すること。
    4. 苦情及び相談への対応に関すること。
    5. 個人情報保護マネジメントシステムの継続的改善に関すること。
    6. トップマネジメントの氏名
    7. 制定年月日及び最終改正年月日
    8. 個人情報保護方針の内容についての問合せ先
  2. トップマネジメントは、個人情報保護セキュリティ方針を明確にし、公表するため、次の個別方針を含む(全てを含む必要はない。)『セキュリティポリシー』を定める。
    1. モバイル機器及びテレワーキング方針
    2. アクセス制御方針
    3. ネットワーク及びネットワークサービスへのアクセス方針
    4. 暗号による管理策の利用方針
    5. 暗号鍵の利用、保護及び有効期間に関する方針
    6. クリアデスク・クリアスクリーン方針
    7. バックアップ方針
    8. 個人情報転送の方針
    9. セキュリティに配慮した開発のための方針
    10. 供給者関係のための個人情報セキュリティの方針
    11. 知的財産権保護方針
    12. プライバシーの保護方針
  3. トップマネジメントは、教育等の機会によって、『個人情報保護方針』及び『セキュリティポリシー』を従業者に周知する。
  4. トップマネジメントは、『個人情報保護方針』及び『セキュリティポリシー』を、当社ウェブサイトへの掲載し(トップページからワンクリックで遷移可能なページとする)、一般の人へ公表し、入手可能な状態とする。

組織の役割、責任及び権限(A.3.3.4)

  1. トップマネジメントは、個人情報保護に関連する役割に対して、責任及び権限を割り当て、利害関係者に伝達することを確実にする。
  2. トップマネジメントは、次の事項に対して、責任及び権限を割り当てる。
    1. PMSが、JIS Q 15001規格の要求事項に適合することを確実にする。
    2. PMSのパフォーマンスをトップマネジメントに報告する。
  3. トップマネジメントは、組織内部に属する者から個人情報保護管理者を指名し、責任及び権限を割り当て、次の業務を行わせる。
    1. JIS Q 15001規格の内容を理解し、実践する。
    2. トップマネジメントによるPMSの見直しに資するため、定期的に、又は適宜に、トップマネジメントにその実施状況を報告する。
  4. トップマネジメントは、組織内部に属する者から個人情報保護監査責任者を指名し、責任及び権限を割り当て、次の業務を行わせる。
    1. 公平、かつ、客観的な立場で、監査を実施し、トップマネジメントにその結果を報告する。
  5. 個人情報保護監査責任者と個人情報保護管理者とは異なる者とする。
  6. トップマネジメントは、各プロジェクトにプロジェクトマネージャを指名し、責任及び権限を割り当て、次の業務を行わせる。
    1. 本規程に準じ、次の事項を、プロジェクトマネジメントに組み込む。
      1. 個人情報保護目的をプロジェクトの目的に含める。
      2. 必要な管理策を特定するため、プロジェクトの早い段階で個人情報保護リスクアセスメントを実施する。
      3. プロジェクトマネジメントの各局面において、適切な個人情報保護対策を実施する。
    2. 個人情報保護管理者と連携し、個人情報保護の施策を確実に実施する。

計画

リスク及び機会に対処する活動

一般(A.3.3.5)

  1. 当社は、PMSの計画を策定するとき、「4.1.組織及びその状況の理解」に規定する課題及び「4.2.利害関係者のニーズ及び期待の理解」に規定する要求事項を考慮し、次の事項のために対処する必要があるリスク及び機会を決定する。
    1. 個人情報保護マネジメントシステムが、その意図した成果を達成できることを確実にする。
    2. 望ましくない影響を防止又は低減する。
    3. 継続的改善を達成する。
  2. 当社は、決定したリスク及び機会について、次の事項を計画する。
    1. 決定したリスク及び機会に対処する活動の計画
    2. 前号(a)をPMSに統合して実施、有効性を評価する方法の計画
  3. 決定したリスク及び機会について計画する手順を、次の通りとする。
    1. 「6.2.個人情報保護目的及びそれを達成するための計画策定」
    2. 「9.パフォーマンス評価」に定める手順
  4. 当社は、次の事項を含む内部規程を文書化し、かつ、維持する。
    1. 個人情報を特定する手順に関する規定(「4.3.1.個人情報の特定」
    2. 法令、国が定める指針その他の規範の特定、参照及び維持に関する規定(「4.2.利害関係者のニーズ及び期待の理解」
    3. 個人情報保護リスクアセスメント及びリスク対策の手順に関する規定(「6.1.2.個人情報保護リスクアセスメント」「6.1.3.個人情報保護リスク対応」
    4. 組織の各部門及び階層における個人情報を保護するための権限及び責任に関する規定(「5.3.組織の役割、責任及び権限」
    5. 緊急事態への準備及び対応に関する規定(「7.4.2.緊急事態への準備」
    6. 個人情報の取得、利用及び提供に関する規定(『PMS実施及び運用規定』
    7. 個人情報の適正管理に関する規定(『PMS実施及び運用規定』
    8. 本人からの開示等の請求等への対応に関する規定(『PMS実施及び運用規定』
    9. 教育等に関する規定(「7.3.認識」
    10. 文書化した情報の管理に関する規定(「7.5.文書化した情報」
    11. 苦情及び相談への対応に関する規定(「7.4.3.苦情及び相談への対応」
    12. 点検に関する規定(「9.パフォーマンス評価」
    13. 是正処置に関する規定(「10.1.不適合及び是正処置」
    14. マネジメントレビューに関する規定(「9.3.マネジメントレビュー」
    15. 内部規程の違反に関する罰則の規定(『PMS実施及び運用規定』

個人情報保護リスクアセスメント(A.3.3.3)

  1. 当社は、次の事項を行う個人情報保護リスクアセスメントの手順を定め、適用する。
    1. 次の事項を含む個人情報保護のリスク基準を確立し、維持する。
      1. リスク受容基準
      2. 個人情報保護リスクアセスメントを実施するための基準
    2. 繰り返し実施した個人情報保護リスクアセスメントに、一貫性及び妥当性があり、かつ、比較可能な結果を生み出すことを確実にする。
    3. 次の通り、個人情報保護リスクを特定する。
      1. PMSの適用範囲内における個人情報の不適切な取扱いに伴うリスクを特定するために、個人情報保護リスクアセスメントの手順を適用する。
      2. リスク所有者を特定する。
    4. 次の通り、個人情報保護リスクを分析する。
      1. 前号(c)で特定されたリスクが、実際に生じた場合に起こり得る結果について、アセスメントを行う。
      2. 前号(c)で特定されたリスクの現実的な起こりやすさについて、アセスメントを行う。
      3. リスクレベル(リスクの大きさ)を決定する。
    5. 次の通り、個人情報保護リスクを評価する。
      1. リスク分析の結果と前号(a)で確立したリスク基準とを比較する。
      2. リスク対応のために、分析したリスクの優先順位付けを行う。

個人情報保護リスク対応(A.3.3.3)

  1. 当社は、次の事項を行うために、個人情報保護リスク対応の手順を定め、適用する。
    1. 「6.1.2.個人情報保護リスクアセスメント」の結果を考慮して、適切な個人情報保護リスク対応の選択肢を選定する。
    2. 選定した個人情報保護リスク対応の選択肢の実施に必要な全ての管理策を決定する。
    3. 前号(b)で決定した管理策を「JIS Q 15001規格 管理策A」に示す管理策と比較し、必要な管理策が見落とされていないことを検証する。
    4. 個人情報保護リスク対応計画を策定する。
    5. 個人情報保護リスク対応計画及び残留している個人情報保護リスクの受容について、リスク所有者の承認を得る。
  2. 当社は、個人情報保護リスク対応の手順についての文書化した情報を、「7.5.文書化した情報」の規定に従って管理する。

個人情報保護目的及びそれを達成するための計画策定(A.3.3.6)

  1. 当社は、関連する部門及び階層において、次の事項を満たす個人情報保護目的を確立する。
    1. 個人情報保護方針と整合している。
    2. 測定可能である。
    3. 適用される個人情報保護要求事項、並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。
    4. 必要に応じて、関係者に伝達する。
    5. 必要に応じて、更新する。
  2. 当社は、個人情報保護目的をどのように達成するかについて、次の事項を含む計画を作成する。
    1. 実施事項(実施事項には、次の事項を含める。)
      1. 「7.3.認識」の規定に従った教育の実施について
      2. 「9.2.内部監査」の規定に従った内部監査の実施について
    2. 必要な資源
    3. 責任者
    4. 達成期限
    5. 結果の評価方法

支援

資源(A.3.3.4)

  1. 当社は、PMSの確立、実施、維持及び継続的改善に必要な資源を決定し、提供する。
  2. 当社においては、トップマネジメントが、PMSの必要性を理解し、「5.リーダーシップ」の規定に従って、必要な資源の決定と提供を行う。

力量(A.3.3.4)

  1. 当社は、次の事項を行う。
    1. 当社の個人情報保護パフォーマンスに影響を与える業務をその管理下で行う人々に必要な力量を、(2)の通りとする。
    2. 適切な教育、訓練又は経験に基づいて、それらの人々が力量を備えていることを確実にする。
    3. 該当する場合には、必ず、必要な力量を身につけるための処置をとり、とった処置の有効性を評価する。
    4. 力量の証拠として、適切な文書化した情報を保持する。
  2. 個人情報保護管理者は、次の力量を持つ者を、特定し、記録する。
    1. 個人情報保護管理者
      1. PMS運用に必要なPMS関連ルールの作成
      2. PMS運用支援業務の実施
    2. 個人情報保護監査責任者
      1. 内部監査の実施
      2. 内部監査員の教育
    3. 内部監査員
      1. 社内外における内部監査員教育の修了
    4. 社員
      1. 個人情報保護方針の重要性の理解
      2. 個人情報保護対策の遵守及び重要性の認識
      3. 個人情報保護対策を遵守しなかった場合に発生するリスクへの認識
  3. 社員が必要な力量を保有するための教育・訓練を、「7.3.認識」に定める。

認識(A.3.4.5)

  1. 当社は、全従業者が次の事項に関して認識を持つために、関連する各部門及び階層並びにプロジェクトにおける次の事項を認識させる手順を確立し、かつ、維持する。
    1. 個人情報保護方針
    2. 個人情報保護パフォーマンスの向上によって得られる便益を含む、PMSの有効性に対する自らの貢献
      1. PMSに適合することの重要性及び利点
      2. PMSに適合するための役割及び責任
    3. PMS要求事項に適合しないことの意味
      1. PMSに違反した際に予想される結果
  2. 個人情報保護管理者は、実施した教育又は訓練の有効性を評価する。評価方法は、次のいずれかとする。
    1. アンケート、確認テストやレポート
    2. 個人情報保護管理者又は個人情報保護管理者が任命した者による、個別のヒアリング
    3. その他、前号に代わるものとしてトップマネジメントが認める方法

コミュニケーション

一般

  1. PMSに関連する内部及び外部のコミュニケーションを定める場合は、次の事項を含める。
    1. 内容(何を伝えるのか)
    2. 実施時期(いつ伝えるのか)
    3. 対象者(誰に伝えるのか)
    4. 実施者(誰が伝えるのか)
    5. 実施手順(どのような手順及び方法で伝えるのか)

緊急事態への準備(A.3.3.7)

  1. 当社は、緊急事態を特定するための手順、及び、特定した緊急事態にどのように対応するかの手順を確立し、実施し、かつ、維持する。
  2. 個人情報の取扱いについての緊急事態には、次の事項を含む。
    1. 当社の管理下における、個人情報の漏えい、滅失又はき損、改ざんの発生
    2. 当社の従業者による個人情報の目的外利用
    3. 当社の委託先による個人情報の漏えい、滅失又はき損、改ざんの発生
    4. 当社の委託先の従業者による個人情報の目的外利用
    5. その他、個人情報保護についてリスクの大きい事象の発生
  3. 当社は、緊急事態を次の3レベル(以下、「緊急事態レベル」という。)に区分して定義する。
    1. レベル3
      1. 要配慮個人情報の漏えい等(例:従業者の健康診断結果の漏えい)の発生
      2. 財産的損害のおそれがある漏えい等(例:送金や決済機能のあるサービスのログインID・パスワードの漏えい)の発生
      3. 不正の目的によるおそれがある漏えい等(例:不正アクセスによる漏えい)の発生
      4. 大規模(目安として、1,000人以上)又は大規模に至る可能性のある漏えい等の発生
      5. 上記おそれのある事態の発生
      6. 高度な暗号化等の秘匿化がされた個人データでの漏えい等の発生を除く
    2. レベル2
      1. レベル3に該当しないものであって、影響範囲が特定の外部関係者にとどまり、被害拡大のおそれがない漏えい等の発生
      2. 高度な暗号化等の秘匿化がされた個人データでの漏えい等の発生
    3. レベル1
      1. レベル2に該当しないものであって、影響範囲が内部関係者にとどまり、外部関係者に被害がない漏えい等の発生
      2. 事前に検知したことで漏えい等が発生しなかったが、漏えい等につながるおそれのあった事態の発生
  4. トップマネジメントは、発生した緊急事態の緊急事態レベルが「2」以上の場合、個人情報保護管理者及び事態関係者を含む緊急事態対応会議を開催する。
  5. トップマネジメントは、発生した緊急事態の緊急事態レベルが「2」の場合、次の措置について、実施の要否及び方法を決定する。
    1. 本人への通知
    2. 当社ウェブサイトでの公表
    3. 緊急事態の報告先機関への報告
    4. 関連組織(グループ会社、取引先、委託元、提供元等)への報告
  6. トップマネジメントは、発生した緊急事態の緊急事態レベルが「3」の場合、次の措置を講じる。
    1. 緊急事態の報告先機関への速報(目安として、事態を知った時から3日~5日以内)
    2. 緊急事態の報告先機関への確報(目安として、事態を知った時から30日以内。ただし、不正の目的をもって行われた行為による漏えい等については60日以内)
    3. 本人への通知(その時点で通知を行う必要があるとはいえないと考えられる場合を除き、目安として、3~5日以内。)
  7. 当社は、個人情報保護リスクを考慮し、その影響を最小限とするための手順を確立し、かつ、維持する。また、緊急事態が発生した場合に備え、法令等の定めに基づき、次の事項を含む対応手順を確立し、かつ、維持する。
    1. 漏えい、滅失又はき損が発生した個人情報の内容を本人に速やかに通知するか、又は本人が容易に知り得る状態に置くこと。
    2. 二次被害の防止、類似事案の発生回避等の観点から、当社の事業内容等に応じて、可能な限り事実関係、発生原因及び対応策を、速やかに公表すること。

苦情及び相談への対応(A.3.6)

  1. 当社は、個人情報の取扱い及びPMSに関して、本人からの苦情及び相談を受け付けて、適切かつ迅速な対応を行う手順を確立し、かつ、維持する。
  2. 当社の個人情報の取扱いに関する苦情及び相談に対処する責任者を、個人情報保護管理者が兼任する。
  3. 当社は、『個人情報の取扱いについて』に次の事項を定め、明確にする。
    1. 苦情の申立て先として、苦情・相談窓口の電話番号、メールアドレス及び住所
    2. 認定個人情報保護団体の苦情解決の申出先
  4. トップマネジメント又は個人情報保護管理者が、苦情・相談の内容が緊急事態に該当すると判断した場合は、「7.4.2.緊急事態への準備」の規定に従って処置する。

文書化した情報(A.3.5)

一般

  1. 当社は、PMSの基本となる次の要素を書面(電子媒体)で記述する。
    1. 個人情報保護方針(当社の個人情報保護方針は、内部向けと外部向けで共通)
    2. 内部規程
    3. 手順書
    4. 内部規程に定める手順上で使用する様式
    5. 計画書
    6. JIS Q 15001規格が要求する記録及び当社がPMSを実施する上で必要と判断した記録

作成及び更新

  1. 当社は、文書化した情報を作成及び更新する際、次の事項を確実にする。
    1. 適切な識別及び記述
    2. 適切な形式及び媒体
    3. 適切性及び妥当性に関する、適切なレビュー及び承認
  2. 当社の文書化した情報は、原則として、電子媒体を正本とし、全ての文書化した情報をPMSイントラネットに保管する。
  3. 個人情報保護管理者は、PMS文書(計画書及び記録を除く)の作成、更新及び承認の記録及び更新履歴を記録する。
項目 説明
種別記号 D:方針、内部規程及び規定に準じる手順書等
F:内部規程に定める手順上で使用する様式
R:計画書、記録
文書番号 文書を識別するための、文書種別ごとの番号(3桁表示)
版番号 整数部:メジャー版番号
小数第1位:マイナー番号
年度通番 文書を識別するための、文書種別ごと、年度ごとの通番(3桁表示)

文書化した情報の管理

  1. 当社は、JIS Q 15001規格が要求する全ての文書化した情報(記録を除く。)を管理する手順を確立し、かつ、維持する。
  2. 文書化した情報(記録を除く。)の管理の手順には、次の事項を含む。
    1. 文書化した情報(記録を除く。)の発行及び改正に関すること
    2. 文書化した情報(記録を除く。)の改正の内容と版数との関連付けを明確にすること
    3. 必要な文書化した情報(記録を除く。)が必要なときに容易に参照できること
  3. 当社は、PMS及びJIS Q 15001規格の要求事項への適合を実証するために必要な記録として、次の事項を含む記録を作成し、かつ、維持する。
    1. 個人情報の特定に関する記録
    2. 法令、国が定める指針及びその他の規範の特定に関する記録
    3. 個人情報保護リスクの認識、分析及び対策に関する記録
    4. 計画書
    5. 利用目的の特定に関する記録
    6. 保有個人データに関する開示等(利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止又は消去、第三者提供の停止)の請求等への対応記録
    7. 教育等の実施記録
    8. 苦情及び相談への対応記録
    9. 運用の確認の記録
    10. 内部監査報告書
    11. 是正処置の記録
    12. マネジメントレビューの記録

運用

運用の計画及び管理(A.3.4.1)

  1. 当社は、個人情報保護要求事項を満たすため、及び「6.1.リスク及び機会に対処する活動」で決定した活動を実施するために必要な手順を計画し、実施し、かつ、管理する。また、「6.2.個人情報保護目的及びそれを達成するための計画策定」で決定した個人情報保護目的を達成するための計画を実施する。
  2. 当社は、手順が計画通りに実施されたという確信を持つために必要な規程の、文書化した情報を「7.5.文書化した情報」の規定に従って保持する。
  3. 当社は、計画した変更を管理し、意図しない変更によって生じた結果をレビューし、必要に応じて、有害な影響を軽減する処置を決定し、実施する。
  4. 当社は、外部委託の手順が決定され、かつ、管理されていることを『PMS実施及び運用規定』の規定によって確実にする。

個人情報保護リスクアセスメント(A.3.3.3)

  1. 当社は、次の場合に、「6.1.2.個人情報保護リスクアセスメント」で確立した基準を考慮して、個人情報保護リスクアセスメントを実施する。
    1. 「6.1.2.個人情報保護リスクアセスメント」で定めた時期
    2. 個人情報保護に関する重大な変更が提案された場合
    3. 個人情報保護に関する重大な変化が生じた場合

個人情報保護リスク対応(A.3.3.3)

  1. 当社は、「6.1.2.個人情報保護リスク対応」の内容に従って、次の事項を実施する。
    1. 個人情報保護リスク対応計画を実施する。
    2. 個人情報保護リスク対応結果の文書化した情報を保持する。

パフォーマンス評価(A.3.7)

監視、測定、分析及び評価(A.3.7.1)

  1. 当社は、個人情報保護パフォーマンス及びPMSの有効性を評価するために、次の事項を決定する。
    1. 必要とされる監視及び測定の対象(個人情報保護プロセス及び管理策を含む。)
      1. リスク管理の状況
      2. 年間個人情報保護目的の達成状況
      3. 是正処置の対応状況
      4. その他、運用全般の状況(「8.運用」
    2. 該当する場合には、必ず、妥当な結果を確実にするための、監視、測定、分析及び評価の方法
    3. 監視及び測定の実施時期
    4. 監視及び測定の実施者
    5. 監視及び測定の結果の、分析及び評価の時期
    6. 監視及び測定の結果の、分析及び評価の実施者
  2. 当社は、PMSが適切に運用されていることを、当社の各部門及び階層並びに各プロジェクトにおいて定期的に、及び適宜に確認するための手順を確立し、実施し、かつ、維持する。

内部監査(A.3.7.2)

  1. 当社は、毎年少なくとも一回、適宜に内部監査を実施し、次の事項を確認する。
    1. 次の事項に適合している。(規格への適合状況の監査)
      1. PMSに関して、当社が規定した要求事項
      2. JIS Q 15001規格の要求事項
    2. 有効に実施され、維持されている。(運用状況の監査)
  2. 当社は、次に示す事項を実施する。
    1. 頻度、方法、責任及び計画に関する要求事項及び報告を含む、監査プログラムの計画、確立、実施及び維持。監査プログラムは、関連するプロセスの重要性及び前回までの監査の結果を考慮に入れる。
    2. 各監査について、監査基準及び監査範囲を明確にする。
    3. 監査プロセスの客観性及び公平性を確保する監査員を選定し、監査を実施する。
    4. 監査の結果を関連する管理層に報告することを確実にする。
    5. 監査プログラム及び監査結果の証拠として、文書化した情報を保持する。
  3. 当社は、監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順を確立し、実施し、かつ、維持する。
  4. 個人情報保護監査責任者は、原則として、監査員に、自己の所属する部門の内部監査をさせてはならない。ただし、やむを得ない理由がある場合に、個人情報保護監査責任者が監査員を兼ねる場合は、監査対象となる部門と兼務することができる。

マネジメントレビュー(A.3.7.3)

  1. 当社は、毎年少なくとも一回、適宜にマネジメントレビューを実施する。
  2. トップマネジメントは、当社のPMSが、引き続き、適切、妥当かつ有効であることを確実にするために、PMSをレビューする。レビューにおいては、次の事項を考慮する。
    1. 監査及び個人PMSの運用状況に関する報告
    2. 苦情を含む外部からの意見
    3. 前回までの見直しの結果に対するフォローアップ
    4. 個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況
    5. 社会情勢の変化、国民の認識の変化、技術の進歩などの諸環境の変化
    6. 組織の事業領域の変化
    7. 内外から寄せられた改善のための提案

改善

不適合及び是正処置(A.3.8)

  1. 当社は、不適合が発生した場合、次の事項を行う。
    1. その不適合に対処し、該当する場合には、必ず、次の事項を行う。
      1. その不適合を管理し、修正するための処置をとる。
      2. その不適合によって起こった結果に対処する。
    2. その不適合が再発しないように又は他のところで発生しないようにするため、次の事項によって、その不適合の原因を除去するための処置をとる必要性を評価する。
      1. その不適合をレビューする。
      2. その不適合の原因を明確にする。
      3. 類似の不適合の有無、又はそれが発生する可能性を明確にする。
    3. 必要な処置を実施する。
    4. 実施した是正処置の有効性をレビューする。
    5. 必要な場合には、PMSの変更を行う。是正処置は、検出された不適合のもつ影響に応じたものとする。、次に示す事項の証拠として、文書化した情報を保持する。
      1. 不適合の性質及びとった処置
      2. 是正処置の結果
  2. 当社は、不適合に対する是正処置を確実に実施するための責任及び権限を定める手順を確立し、実施し、かつ、維持する。その手順には、次の事項を含める。
    1. 不適合の内容を確認する。
    2. 不適合の原因を特定し、是正処置を立案する。
    3. 期限を定め、立案された処置を実施する。
    4. 実施された是正処置の結果を記録する。
    5. 実施された是正処置の有効性をレビューする。

継続的改善

  1. 当社は、内部規程及び手順書に従って、PMSの適切性、妥当性及び有効性を継続的に改善する。

Copyright (C) 2021 CHANGE DESIGN Co.
クリエイティブ・コモンズ・ライセンス
この文書は クリエイティブ・コモンズ 表示 - 非営利 - 継承 4.0 国際 ライセンスの下に提供されています。