【全5回】にわたって解説!
前回より以下のような順番で、改訂版の構築・運用指針についての具体的な実施ポイントや変更点などについて解説をしています。
・Vol1:J.1~J.3
・Vol2:J.4~7
・Vol3:J.8~J.8.7
・Vol4:J.8.8~J.8.10
・Vol5:J.9~J.11
今回は、Vol2となる【J.4~J.7】の項目です。
・従業者への教育
・情報共有する際のコミュニケーション
・万が一、事故が発生したときなどの緊急事態への準備
などなど、「具体的にどんなことをするのか?」「嚙み砕くとどんな内容なのか?」を図解を入れながら解説していきます。
さっそく、確認していきましょう!
目次
- J.4.1 資源
- J.4.2 力量
- J.4.3 認識
- J.4.4.1 コミュニケーション
- J.4.4.2 緊急事態への準備
- J.4.5.1 文書化した情報
- J.4.5.2 文書化した情報の管理
- J.4.5.3 文書化した情報(記録を除く。)の管理
- J.4.5.4 内部規定
- J.4.5.5 文書化した情報のうち、記録の管理
- J.5.1 運用
- J.6.1 監視、測定、分析及び評価
- J.6.2 内部監査
- J.6.3 マネジメントレビュー
- J.7.1 不適合及び是正処置
- J.7.2 継続的改善
- まとめ
※資源とは、人員、組織基盤(規定、体制、施設・設備など)、資金などを指す。
※利害関係者とは、J.1.2(利害関係者のニーズ及び期待の理解)で特定したものである。
概要
PMSの確立、実施、維持及び継続的改善に必要な資源(人員、組織基盤、資金)を決定し、従業者等に提供することを求めるもの。
・必要な資源とは、人員、組織基盤、資金などである。
・資源の提供先に、外部も含まれてる場合がある。(例:グループ会社への資金の提供)
※a)で決定した能力及びJ.4.3を充足するための処置とは、例えば、現在雇用している者に対する、教育訓練の機会提供、指導の実施、配置転換の実施などがあり、また、力量を備えた者の雇用、そうした者との契約締結などもある。
概要
事業者は、個人情報保護に影響を与える業務に従事する者に対し、個人情報保護に必要とされる能力を決定し、それを身につけるために必要な事項を定めることを求めるもの。
・当該従業員に決定した能力及びJ.4.3認識を充足させるための処置(例:当該従業員の教育訓練など)を実施すること。
・上記の処置の結果、必要な能力が備わっていない場合は、身につけるための処置を講じ、講じた処置の有効性を評価すること。
・以上の実施内容を記録すること。
■項目No.1 a)の修正(「…記録を保持する」→「…記録を利用可能な状態にする」)
→JISの表現に合わせたもので、要求する内容に変更はない
※本項は、J.4.2(力量)を一体として捉えること。
概要
事業者は、PMSの構築・運用に関する教育を行うための手順を、受講者の理解度を確認するための手順も含め規定するとともに、事業者の管理下で働く全ての従業者に対して、PMSの構築・運用における必要事項(J.4.3 No.2a)~d)の事項)の認識を持たせるための教育を、少なくとも年一回及び必要に応じて適宜に実施することを求めるもの。
・全ての従業者を対象とすること。
【整備すべき規定類】
・教育などに関する規定
・計画書
・教育などの実施記録
・使用した教材など
※コミュニケーションとは、平常時における、本人を含む外部とのコミュニケーション(個人情報保護方針の公表、個人情報の開示・訂正・利用停止・苦情及び相談への対応等)、及び内部とのコミュニケーション(報告・連絡・相談・承認等)や、緊急時における、個人データの漏えい、滅失、き損その他の個人データの安全確保にかかる場面(主に、緊急事態への準備(J.4.4.2)がある。
概要
内部及び外部の必要な人に、必要な事項を、適切なタイミングで意思疎通や情報共有等(コミュニケーション)を行うことを求めるもの。
PMSに関係する内外の利害関係者(本人、顧客、委託先、事業内部等)に対し、5W1H(J.4.4.1a)~f)の事項)を踏まえて円滑なコミュニケーションを行うことを求めている。
※緊急事態へ対応する際は、事態の把握と調査が重要となる。十分な調査を行うことを前提に、調査後の対応手順を定めることを本項は求めている。
※緊急事態とは、個人情報保護リスク(J.3.1.3の留意事項を参照)の脅威(事業者や本人等に損害を可能性がある、望ましくないインシデント(事故等の潜在的な要因)が顕在化した状況を指す。
※関係機関とは、報告すべき利害関係を有している機関(本人、委託元/委託先、企業グループ各社、プライバシーマークの審査を受けた機関(プライバシーマーク付与事業者の場合)、個人情報保護委員会、認定個人情報保護団体(所属している場合)など)を指す。
概要
個人情報の取扱いで緊急事態が発生した場合を想定し、その影響を最小限に抑えるための準備(対応手順などを定めるなど)を行うとともに、緊急事態が発生した場合は準備した内容に基づいて対応することを求めるもの。
・緊急事態が発生した場合に報告等が必要となる関係機関及び利害関係者をあらかじめ特定すること。
・緊急事態を特定するための手順及び特定した緊急事態の連絡先、連絡方法、実施すべき事項などを内部規定として文書化すること。
・個人情報保護リスクを考慮し、その影響を最小限とするため、決裁権限者、必要となる部門の責任など緊急事態に対する際の体制や連絡先を決めておくとよい。
【整備すべき規定類】
・緊急事態への準備及び対応に関する規定
・監視、測定、分析及び評価の記録
■項目No.1 a)の修正(「…報告書等が必要となる関係機関及び利害関係者をあらかじめ特定すること。」)
→緊急事態発生時の報告先をあらかじめ特定することを求める項目。
■項目No.2の修正(「個人情報保護リスクを考慮し、その影響を最小限とするため…」)
→JISの表現に合わせたもので、要求する内容に変更はない。
■留意事項の追加(「※関係機関とは、以下に該当するものを指す…」)
→関係機関と利害関係者の定義と、それらに対して必要となる対応を追加。法令及びプライバシーマーク制度で求めている内容を明文化したもの。
概要
PMSの基本となる要素に対する書面を作成することを求めるもの。
【整理すべき規定類】
J.4.5.1a)~f)に関する書面
※アクセスとは、文書化した情報の閲覧だけの許可に関する決定、文書化した情報の閲覧、変更の許可及び権限に関する決定などを意味する。
概要
J.4.5.1文書化した情報(一般)に基づいて文書化した情報の管理について、管理の局面(利用、保管及び保存、変更、廃棄など)に合わせて適切な対応を求めるもの。
・文書化した情報の管理に当たっては、最新のものがいつでも参照できるような状態にするために必要な事項(J.4.5.2 No.2c)~f)の事項)を実施すること。
・PMSに必要となる外部からの文書化した情報を、必要に応じ特定し、管理すること。
・具体的な管理手順は、J.4.5.3文書化した情報(記録を除く)の管理に従うこと。
【整備すべき規定類】
・文書化した情報の管理に関する規定
・文書化した情報の更新履歴
・文書化した情報の管理状況
※c)の「必要な文書化した情報(記録を除く。)が必要なときに容易に参照できること。」とは、適切な形式(例えば、言語・ソフトウェアの版、図表)及び媒体(例えば、紙、電子媒体)に関することを含む。
概要
構築・運用指針が要求する全ての文書化した情報(記録を除く)の管理手順を定め、定めた手順に基づいて管理することを求めるもの。
・改正の記録を残したうえで、最新の情報が判別できるようにするために必要事項(J.4.5.3 No.1a)~d)の事項)を含むこと。
・文書化した情報(記録を除く。)の管理を定めた手順に基づいて実施すること。
【整備すべき規定類】
・文書化した情報の管理に関する規定
・文書化した情報の更新履歴
・文書化した情報の管理状況
概要
個人情報の取扱いに関して、必要な規則やルールを内部規定として定めることを求めるもの。
・事業の内容に応じて、PMSが確実に適用されるよう、内部規定を改正すること。
【整備すべき規定類】
・内部規定
・内部規定の更新履歴
■項目No.1 a)の修正(「リスク対策」→「リスク対応」)
→JISの表現に合わせたもので、要求する内容に変更はない。
■項目No.1 g)の修正(「データの内容の正確性の確保…」の追加)
→JISの表現に合わせたもので、要求する内容に変更はない。
■項目No.1 l)の修正(「点検」→「監視、測定、分析及び評価、並びに内部監査」)
→点検の範囲を明確にしたもので、要求する内容に変更はない。
■項目No.1 g)の修正(「不適合及び」の追加)
→JISの表現に合わせたもので、要求する内容に変更はない。
概要
PMS及び構築・運用指針に基づいて作成する必要がある記録について、その種類を定めるとともに、これらの記録の管理について内部規定として定めることを求めるもの。
・少なくとも必要とされる事項(J.4.5.5 No.2a9~k)の事項)を含む記録を作成すること。
【整備すべき規定類】
・文書化した情報の管理に関する規定
・J.4.5.5 No.2a)~k)の記録
■項目No.2の修正(複数の項目において、表現の修正や文言の追加が発生)
→JISの表現に合わせたもので、要求する内容に変更はない。
概要
PMSを適切に運用するあたり、手順を内部規定として定めるとともに、J.3計画で決定した活動について実施するための必要なプロセスを計画し、実施し、管理し、適宜見直すために必要な事項を定めるもの。
・事業者は、計画変更を管理し、意図しない変更によって生じた結果をレビューし、必要に応じて有害な影響を軽減する処置をとること。
・事業者は、外部委託した業務がある場合は、管理の対象とすること。
・事業者は、上記について記録を利用可能な状態にすること。
■項目No.5の修正(「保持する」→「利用可能な状態にする」)
→JISの表現に合わせたもので、要求する内容に変更はない。
概要
PMSが適切に運用されていることを、各部門及び階層の管理者が定期的及び適宜に確認し、不適合が確認された場合はその是正処置を行うことを求めるもの。
・PMSが適切に運用されていることを、各部門及び階層の管理者が定期的及び適宜に確認する手順を、内部規定として文書化すること。
・PMSが適切に運用されているかを確認するために必要な事項(J.6.1 No.2a)~f)の事項)を決定すること。
・PMSの運用状況の確認の結果不適合が確認された場合は、その是正処置を行うこと。
・事業者は、監査及び測定の結果を文書化した情報として保持すること。
・個人情報保護管理者は、定期的及び適宜にトップマネジメントに運用の確認の状況を報告すること。
【整備すべき規定類】
・監視、測定、分析及び評価、並びに内部監査に関する規定
・監視、測定、分析及び評価の記録
■項目No.1、No.3の修正(「マネジメントシステム」→「個人情報保護マネジメントシステム」)
→JISの表現に合わせたもので、要求する内容に変更はない。
■項目No.4の修正(「保持する」→「利用可能な状態にする」)
→JISの表現に合わせたもので、要求する内容に変更はない。
※個人情報保護監査責任者は、監査員に、自己の所属する部署の内部監査をさせてはならない。
概要
PMSについて、事業者の内部規定(事業者自身が規定した要求事項含む)が構築・運用指針の要求事項に適合するとともに、PMSが事業者にとって有効に働いているかを監査することを求めるもの。
・全部門を対象として少なくとも年一回及び必要に応じて適宜に行うこと。
・個人情報保護監査責任者は、内部監査の実施計画の策定・実施、監査員の選定、実施後の報告等(J.6.2 No.3のc)~g)の事項)を実施すること。
・監査員に自己の所属する部署の内部監査をさせてはならない。
【整備すべき規定類】
・監視、測定、分析及び評価、並びに内部監査に関する規定
・計画書
・内部監査の記録
・監査項目(例:監査チェックリスト)
■項目No.2の修正(「事業者が規定した要求事項及び…」→「事業者の内部規定(事業者自身が規定した要求事項を含む)が…」)
→適合性監査の表現を明確にしたもので、要求する内容に変更はない
■項目No.4の修正(「保持する」→「利用可能な状態にする」)
→JISの表現に合わせたもので、要求する内容に変更はない。
■留意事項の修正(「※d)の監査範囲は…」)の追加
→監査範囲を明文化したもので、要求する内容に変更はない。
概要
PMSが引き続き、適切、妥当かつ有効であることを確実にするために、定期的にまた必要に応じて適宜にトップマネジメントがマネジメントレビュー(経営層による見直し)を行うことで、是正処置及び継続的改善の機会を決定することを求めるもの。
・少なくとも年一回及び必要に応じて適宜に実施すること。
・マネジメンレビューの実施にあたっては、PMSの評価結果や内外の環境変化に関する事項(J.6.3No.3のa)~f)の事項)をインプットすること。
・マネジメンレビューからのアウトプットには、継続的改善の機会及びPMSのあらゆる変更の必要性に関する決定を含めること。
・事業者は、マネジメンレビュー結果を文書化し利用可能な状態にすること。
【整備すべき規定類】
・マネジメンレビューに関する規定
・マネジメンレビューの記録
■項目No.3の修正(「確認及び点検」→「監視及び測定」など)
→JISの表現に合わせたもので、要求する内容に変更はない。
■項目No.5の修正(「保持する」→「利用可能な状態にする」)
→JISの表現に合わせたもので、要求する内容に変更はない。
■留意事項の修正(「※d)は、利害関係者の…」)の追加
→利害関係者からのフィードバックについて明文化したもので、要求する内容に変更はない。
※不適合が明らかとなった場合とは、J.6(パフォーマンス評価)のほか、個人情報に関わる事故や苦情の発生等が契機となる。
概要
PMSに不適合が発見された場合に、是正処置の実施を求めるもの。
・是正処置の実施結果について文書化した情報として利用可能な状態にし、原則としてトップマネジメントが承認すること。
【整備すべき規定類】
・不適合及び是正処置に関する規定
・不適合及び是正処置の記録
■項目No.3の修正(「確認及び点検」→「監視及び測定」など)
→JISの表現に合わせたもので、要求する内容に変更はない。
概要
PMS自体の適切性、妥当性及び有効性を継続的に改善することを求めるもの。
・継続的改善は、J.6.3マネジメントレビュー、J.7.1不適合及び是正処置の結果を踏まえて実施することが効果的。
今回は、【J.4~J.7】の構築・運用指針の項目について解説しました。
それぞれの項目で求められている対応について確認をし、スムーズな申請・更新ができるように準備をしていきましょう。
次回は、【J.8.1~J.8.7】の項目解説をしますので、ぜひご覧ください。
株式会社Runway labo.では、あらゆるITのお悩み・認証資格取得のサポートを行っております。
セキュリティツールなどの導入支援なども行っておりますので、セキュリティ面について不安を抱えている企業様や担当者様がいらっしゃいましたら、ぜひお気軽にご相談ください。
→お問い合わせはこちらから
この記事を書いたのは、株式会社Runway-labo.で情シスのアシスタントをしているAnya。趣味はピラティスで身体を動かした後に餃子とハイボール片手に昼飲み。そしてコナン君をこよなく愛する。