個人情報保護マネージメントシステム「PMS」を解説|何が要求される?

データ管理・活用 2021.01.26
個人情報保護マネージメントシステム「PMS」を解説|何が要求される?

個人情報保護マネージメントシステム「PMS」をご存じでしょうか。適切に運用することで「自社内の個人情報保護水準を高めてくれるシステム」として、最近では多くの企業が導入を進めています。

そこで本記事では、個人情報保護マネージメントシステム「PMS」の概要と、具体的に何が要求されるのかを「PDCAサイクル」に当てはめて解説します。

1. 個人情報保護マネージメントシステム(PMS)とは?

個人情報保護マネージメントシステム(PMS:Personal information protection Management Systems)は、品質管理によく使われる「PDCAサイクル」の手法を活用した、企業における個人情報保護の仕組みです。以下の手順を繰り返し、社内の個人情報保護水準を継続的に高めることを目的としています。

  1. Plan(計画:社内体制を整える、ルール作り)
  2. Do(実行:ルールに基づいた個人情報の取り扱い)
  3. Check(確認:適切に運用されているか点検、評価)
  4. Act(改善:体制やルールを改善)

以後、再び「1.Plan」へ戻り繰り返し。

PMSは企業に多くのメリットをもたらすシステムです。

  • 個人情報に関する事故の予防や早期発見
  • 事故後の対応の容易化
  • プライバシーマーク(個人情報保護体制の基準への適合性を評価の証)の取得

など、現代の企業に欠かせない個人情報保護対策を実現できます。

最大のメリットは「個人情報保護法」を順守できることです。

PMSは、「JIS Q 15001(個人情報保護を目的とする日本産業規格)」によって要求事項が定められています。これは、企業がPMSを適切に運用するために重要なポイントを示した内容です。「JIS Q 15001」が要求する保護レベルは個人情報保護法よりも高いため、PMSの導入はそのまま個人情報保護法の順守につながります。

なお、「JIS Q 15001」は1999年の制定後、2006年と2017年に改正されています。2017年の改正では、要配慮個人情報に関する項目が新設されるなど「改正個人情報保護法」への対応が進められました。2020年6月に再び個人情報保護法が改正されたことを考えると、しばらくの間は動向を注視しておく必要がありそうです。

2. PMSにおけるP(計画)に要求されること

企業が個人情報保護を進めるなか、心強い味方となるPMS。では、PMSではどのような内容が要求されるのか、PDCAサイクルに合わせて見ていきましょう。

まずは「Plan(計画)」からご説明します。

2.1. 個人情報保護方針を作成する

PMSでは、自社の個人情報保護の方針を文章にして明確化する必要があります。この方針はその後の指針となり、社内・社外どちらにも公表する大切なものです。企業の公式ページでは「個人情報保護方針」としてよく公表されています。

方針の作成にあたり、自社が順守すべき法律を調べます。個人情報保護法のみでよいのか、GDPRなど海外のルールも適用されるのか、自社の状況に応じた対応が必要です。調査の過程で、現在自社が所有している個人情報の特定も進めます。

2.2. リスクの明確化と対策

個人情報の特定後は、自社が抱えるリスクの明確化と対策が必要です。どのような個人情報を取得していて、取得から廃棄までの間にどのようなリスクがあるのかを詳細に検討します。

保管は一部の人間しか立ち入れない金庫、廃棄は担当者によるシュレッダーを徹底するなど、リスクを最小限にするための具体的な保護方針を定めます。

2.3. 担当者の設置と計画書の作成

またPMSでは「個人情報保護管理者」「個人情報保護監査責任者」の選任と、「教育実施計画」と「内部監査実施計画」の文章化が求められています。担当者の役割や内容を明確化することで曖昧な部分を減らし、効果的に個人情報保護を進めるイメージです。

3. PMSにおけるD(実行)に要求されること

「Do(実行)」では、Plan(計画)をもとに行動へ移します。要求されるのは、計画に則した個人情報保護への取り組みです。

3.1. 個人情報の適切な取得・管理

  • 利用目的を特定して個人情報を取得する
  • 要配慮個人情報に対して特別な取り扱い
  • 情報漏洩防止措置

といったルールを厳守した個人情報の取り扱いが求められます。同時に社員教育を進め、社内全体に「個人情報保護」の意識と知識を浸透させることも大切です。

3.2. 開示請求や苦情への対応

本人や代理人から開示請求や苦情を受けた場合の対応手続きも定めておきましょう。ホームページで連絡先や申し出の手順を事前に公表しておく形が一般的です。

3.3. 個人情報保護マネージメントシステム(PMS)の文書化

Plan(計画)で定めた保護方針や内部規定はもちろんのこと、PMSの実施に必要な記録はすべて書面で残さなければいけません。明確に記録を残すことで順守しているかを確認し、他社に方針を説明できます。これはPDCAサイクルを継続して回し続けるために大切なポイントです。

4. PMSにおけるC(確認)に要求されること

「Check(確認)」では、ここまでのDo(実行)がPlan(計画)通りにおこなわれているかを確認します。方法としては「部署内のセルフチェック(運用の確認)」と「内部監査」のダブルチェックが必要です。そのなかでも「内部監査」が特に重要です。

PMSの基準となる「JIS Q15001:2017」では、最低でも年に1回内部監査をおこなうように要求しています。また監査の詳細にも言及しており、以下の4点が重要となります。

  • 原則として社内の全ての部門を対象とする
  • 監査前には監査プログラムを、監査後には監査報告書を作成する
  • 監査員は自己の所属する部署の内部監査をしてはいけない
  • 監査後はトップ(代表者)に報告する

5. PMSにおけるA(改善)に要求されること

最後の「Act(改善)」では、ここまでのPMSで明らかになった問題を改善していきます。次のPDCAサイクルに向けた見直しと準備の段階です。

「内部監査の結果」「外部からの意見」「プライバシー保護に関する法律や指針の状況」「前回のAct(改善)の再確認」などをもとに、新たなPDCAサイクルを検討します。こうして完成した新たなサイクルを実施し、また次のサイクルを作成する、と何度も繰り返すことで、社内の個人情報保護水準を常に高いレベルで維持することを目指します。

6. まとめ

個人情報保護マネージメントシステム「PMS」は、PDCAサイクルを活用して社内の個人情報保護水準を高めるためのシステムです。「JIS Q 15001」による厳しい基準をクリアする必要はあります。しかし個人情報保護にまつわる事故のリスクやダメージを下げられるなど多数のメリットが存在します。

PMSの推進は個人情報保護法の順守にもつながります。複雑化するプライバシー保護関連のルールを守るために、企業にとって大きな手助けとなるこのシステムをぜひ活用しましょう。

パーソナルデータの取扱いにお悩みの方に

  • 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
  • 誰にどこまで同意を取ったか管理するのが大変…
  • ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
  • 同意は管理できても他社システムを上手く連携して使えないと…

Trust 360で、すべて解決!