個人情報保護マネジメントシステム「PMS」を解説!何が要求される?

データ管理・活用 2022.03.29
個人情報保護マネジメントシステム「PMS」を解説!何が要求される?

個人情報保護マネジメントシステム「PMS」をご存じでしょうか。適切に運用することで自社内の個人情報保護水準を高めてくれるシステムとして、最近では多くの企業が導入を進めています。

そこで本記事では、個人情報保護マネジメントシステム「PMS」の概要と、具体的に何が要求されるのかを「PDCAサイクル」に当てはめて解説します。

個人情報保護マネジメントシステム(PMS)とは?

個人情報保護マネジメントシステム(PMS:Personal information protection Management Systems)は、品質管理によく使われる「PDCAサイクル」の手法を活用した、企業における個人情報保護の仕組みです。以下の手順を繰り返し、社内の個人情報保護水準を継続的に高めることを目的としています。

  1. Plan(計画:社内体制を整える、ルール作り)
  2. Do(実行:ルールに基づいた個人情報の取り扱い)
  3. Check(確認:適切に運用されているか点検、評価)
  4. Act(改善:体制やルールを改善)
  5. 以後、再び「1.Plan」へ戻り繰り返し。

PMSは企業に多くのメリットをもたらすシステムです。

  • 個人情報に関する事故の予防や早期発見
  • 事故後の対応の容易化
  • プライバシーマーク(個人情報保護体制の基準への適合性を評価の証)の取得

など、現代の企業に欠かせない個人情報保護対策を実現できます。
最大のメリットは「個人情報保護法」を順守できることです。

PMSは、「JIS Q 15001(個人情報保護を目的とする日本産業規格)」によって要求事項が定められています。これは、企業がPMSを適切に運用するために重要なポイントを示した内容です。「JIS Q 15001」が要求する保護レベルは個人情報保護法よりも高いため、PMSの導入はそのまま個人情報保護法の順守につながります。
なお、2022年4月予定の改正個人情報保護法の全面施行を念頭に、2021年8月には「JIS Q 15001」の内容をより明確化した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」が公表されました。

あわせて2022年1月を目途に上記文章のさらなる追記・修正が予定されており、2022年4月以降のプライバシーマークの審査はその内容に則っておこなわれると説明しています。しばらくの間は動向を注視しておく必要があります。

PMSにおけるP(計画)に要求されること

企業が個人情報保護を進めるなか、心強い味方となるPMS。では、PMSではどのような内容が要求されるのか、PDCAサイクルに合わせて見ていきましょう。

まずは「Plan(計画)」からご説明します。

個人情報保護方針を作成する

PMSでは、自社の個人情報保護の方針を文章にして明確化する必要があります。この方針はその後の指針となり、社内・社外どちらにも公表する大切なものです。企業の公式ページでは「個人情報保護方針」としてよく公表されています。
方針の作成にあたり、自社が順守すべき法律を調べます。個人情報保護法のみでよいのか、GDPRなど海外のルールも適用されるのか、自社の状況に応じた対応が必要です。調査の過程で、現在自社が所有している個人情報の特定も進めます。

リスクの明確化と対策

個人情報の特定後は、自社が抱えるリスクの明確化と対策が必要です。どのような個人情報を取得していて、取得から廃棄までの間にどのようなリスクがあるのかを詳細に検討します。
保管は一部の人間しか立ち入れない金庫、廃棄は担当者によるシュレッダーを徹底するなど、リスクを最小限にするための具体的な保護方針を定めます。

担当者の設置と計画書の作成

またPMSでは「個人情報保護管理者」「個人情報保護監査責任者」の選任が求められています。
それぞれの役割は以下の通りです。なお、一人でこの両者を兼任することは禁止されていることに注意が必要です。

個人情報保護管理者:個人情報保護マネジメントシステムの見直し及び改善の基礎として,トップマネジメントに個人情報保護マネジメントシステムの運用状況を報告すること。
個人情報保護監査責任者:監査を指揮し,監査報告書を作成し,トップマネジメントに報告すること。

出典:一般財団法人日本情報経済社会推進協会(JIPDEC)「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」

加えて「教育実施計画」や「内部監査実施計画」の文章化も必要とされます。全体として、担当者の役割や内容を明確化することで曖昧な部分を減らし、効果的に個人情報保護を進めるイメージです。

PMSにおけるD(実行)に要求されること

「Do(実行)」では、Plan(計画)をもとに行動に移します。要求されるのは、計画に則した個人情報保護への取り組みです。

個人情報の適切な取得・管理

個人情報の取得や管理には、以下のルールを厳守した取り扱いが求められます。社員教育を進め、社内全体に「個人情報保護」の意識と知識を浸透させることが重要です。

  • 利用目的を特定して個人情報を取得する
  • 要配慮個人情報に対して特別な取り扱い
  • 情報漏えい防止措置

開示請求や苦情への対応

本人や代理人から開示請求や苦情を受けた場合の対応手続きも定めておきましょう。ホームページで連絡先や申し出の手順を事前に公表しておく形が一般的です。
改正個人情報保護法やGDPRに代表される近年のプライバシーに関する法律では、人々が自分の個人情報を従来よりも自由に取り扱える方向で規制が強められています。各種申し出への対応フローの構築は、企業としては喫緊の課題です。

個人情報保護マネジメントシステム(PMS)の文書化

Plan(計画)で定めた保護方針や内部規定はもちろんのこと、PMSの実施に必要な記録はすべて書面で残さなければいけません。
明確に記録を残すことで順守しているかを再確認しやすくなり、状況に応じて他社にも方針を説明できます。これはPDCAサイクルを継続して回し続けるために大切なポイントです。

PMSにおけるC(確認)に要求されること

「Check(確認)」では、ここまでのDo(実行)がPlan(計画)通りにおこなわれているかを確認します。方法としては「部署内のセルフチェック(運用の確認)」と「内部監査」のダブルチェックが必要であり、特に後者が重要です。
PMSの基準となる「JIS Q15001:2017」では、最低でも年に1回内部監査をおこなうように要求しています。また監査の詳細にも言及しています。

  • 原則として社内のすべての部門を対象とする
  • 監査前には監査プログラムを、監査後には監査報告書を作成する
  • 監査員は自己の所属する部署の内部監査をしてはいけない
  • 監査後はトップ(代表者)に報告する

PMSにおけるA(改善)に要求されること

最後の「Act(改善)」では、ここまでのPMSで明らかになった問題を改善していきます。次のPDCAサイクルに向けた見直しと準備の段階です。

  • 内部監査の結果
  • 外部からの意見
  • プライバシー保護に関する法律や指針の最新状況
  • 前回のAct(改善)の再確認

上記をもとに、新たなPDCAサイクルを検討します。こうして完成した新たなサイクルを実施し、また次のサイクルを作成する、と何度も繰り返すことで、社内の個人情報保護水準を常に高いレベルで維持することを目指します。

プライバシーマーク(Pマーク)の注意点

Pマークの取得はPMSの大きなメリットの一つです。取引先を含めた外部に向けて、自社が個人情報保護をしっかりと意識している企業だとアピールするのに役立ちます。
一方、Pマークには事前に理解しておくべき注意点もいくつか存在します。

業務が煩雑になることもある

前述の通り、PMSでは責任者の選任や書類の作成、各種申請への対応フローの構築や社員教育の徹底など、さまざまな作業が求められます。これまで個人情報保護対策をあまり重視していなかった企業の場合、新規に必要とされる内容も多く、業務の煩雑化が予想されます。

しかし国内でも改正個人情報保護法の全面施行が予定されており、人々の個人情報を厳格に保護すべきだとする気運は高まっています。専門のコンサルタント等を活用して業務効率をできるだけ落とさないように工夫し、ある程度は必要なコストとして割り切る必要があるでしょう。

更新対応が必要

Pマークは一度取得すれば永続的に認定されるものではなく、2年間の有効期限が定められています。有効期間が終了する8ヵ月前~4ヵ月前に更新申請をおこなった後、審査を待つ必要があります。
更新対応は企業にとって負担である一方、資格の有名無実化を避けるために欠かせない仕組みでもあります。個人情報保護のように情勢が変化する分野ではなおさら重要です。

情報漏えいを起こした場合の報告義務

Pマークの認定を受けるためには、PMSを適切に運用する以外にも「プライバシーマーク付与に関する規約」を順守する必要があります。規約により、情報漏えい事故を起こしてしまった場合の対応として関係審査機関への報告が義務付けられています。

また、2022年4月の改正個人情報保護法の全面施行後は、Pマーク取得の有無にかかわらず大規模なインシデント発生後の「個人情報保護委員会」への報告が必須となります。「Pマークの関係審査機関にも報告すること」を忘れずに対応フローに入れておくようにしましょう。

まとめ

PMSの運用には「JIS Q 15001」による広範な内容が要求されますが、Pマークの取得や改正個人情報保護法の順守など、現代企業に必要とされるプライバシー保護対策をまとめて進めることができる有効な手段でもあります。
PDCAサイクルを踏襲するPMSは、何度もサイクルを繰り返すことで真価を発揮するシステムです。目前に迫る改正個人情報保護法への対応を進めるためにも活用をご検討ください。

公開日:2021年9月6日

パーソナルデータの取扱いにお悩みの方に

  • 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
  • 誰にどこまで同意を取ったか管理するのが大変…
  • ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
  • 同意は管理できても他社システムを上手く連携して使えないと…

Trust 360で、すべて解決!