プライバシーマーク 事業の用に供する個人情報とは何か。

事業の用に供する個人情報と規格では出てきます。

事業の用に供する個人情報とは以下のものが該当します。
1-会社が商品やサービスを提供する際に取扱う個人情報
2-従業者の採用や雇用管理で取り扱う個人情報
3-個人情報保護マネジメントシステムを運用する事により取扱う個人情報

以上のものが該当します。

これに該当しない個人情報は、事業の用に供する個人情報とはなりません。
該当するものは全て事業の用に供する個人情報となります。

プライバシーマークの審査員の質

審査機関にも違いがあれば、審査員にも特徴があります。
しかしながら、現在の審査員は審査員とは言い難い人も多くいるのが現実です。

カッとする。
言い合いになる。
冷静で無い。
客観的ではない。
相手の話を聞かない。
自分の持論を押し付ける。
過去の審査にさかのぼり、やっぱりあれがダメという。
一回目の指摘と、二回目の指摘に矛盾がある。
なんて事も多くあります。

言い負かすだけの知識を身につけるか、全て従うかのどちらかになります。
全てに従っていると、期間内に取得をすることが出来ません。

言い負かすだけの知識を身につけるにも難しいところがあります。
ＰＭＳ対応の為に社員を契約で雇うと言うのも一つの手です。

プライバシーマーク 重箱の隅をつつく審査

審査機関により、大きく認証に対する意識が違います。
それは、同じプライバシーマークの付与を受けている会社のＨＰ等を見ても、個人情報に関する事の取扱いの違いで判ります。

大きな違いは、業界団体の審査機関と、地域の審査機関の違いです。
業界団体の審査機関であれば、業界団体のガイドラインがベースになりますので、比較的安易に認証付与が出来る傾向にあります。

地域の審査機関の場合、一から作り上げる必要がある為、審査機関によっては、重箱の隅をつつくような審査が行われます。

業界団体の審査機関の審査を受けるには、正会員になる等、別途会費が発生します。
プライバシーマークを取らないのであれば、加入する必要はないのですが、プライバシーマークを取るのであれば、業界団体に属し、そこの審査を受ける方法もあります。

プライバシーマーク 12-4 計画書 現地審査でチェックされる事項

審査項目
事業の代表者の承認を受けて教育計画を作成している。


現地審査の着眼点
定めた手順に従い実施している。

運用確認のエビデンス
教育計画書



審査項目
作成した教育計画の内容が適切である。


現地審査の着眼点
研修名、研修日時、場所、講師、受講対象者、参加予定者数、研修の概要など、実施可能なように具体的に記述している。

運用確認のエビデンス
教育計画書

審査項目
事業の代表者の承認を受けて監査計画を作成している。


現地審査の着眼点
定めた手順に従い実施している

運用確認のエビデンス
監査計画書



審査項目
作成した教育計画の内容が適切である。


現地審査の着眼点
監査テーマ、監査対象、監査目的、監査範囲、手続き、スケジュールなど実施可能なように具体的に記述している。

運用確認のエビデンス
監査計画書

プライバシーマーク審査機関一覧

一般社団法人情報サービス産業協会
[JISA]
〒104-0028
東京都中央区八重洲２丁目8番1号
日東紡ビル9階
TEL ：03-6214-1125
FAX ：03-6214-1126

一般社団法人日本マーケティング・リサーチ協会
[JMRA]
〒101-0044
東京都千代田区鍛冶町一丁目9番9号
石川LKビル2階
TEL ：0120-039-551/03-3256-3101
FAX ：03-3256-3105

社団法人全国学習塾協会
[JJA]
〒171-0031
東京都豊島区目白三丁目5番11号
TEL ：03-5996-8511
FAX ：03-5996-9585

14 一般財団法人医療情報システム開発センター
[MEDIS-DC]
〒162-0825
東京都新宿区神楽坂一丁目１番地
三幸ビル２階
TEL ：03-3267-1925
FAX ：03-3267-1926

社団法人全日本冠婚葬祭互助協会
[全互協]
〒105-0004
東京都港区新橋1-18-16
日本生命新橋ビル9階
TEL ：03-3596-0061
FAX ：03-3596-8030

社団法人日本グラフィックサービス工業会
[JaGra]
〒103-0001
東京都中央区日本橋小伝馬町7番16号
TEL ：03-3667-2271
FAX ：03-3661-9006

社団法人日本情報システム・ユーザー協会
[JUAS]
〒103-0012
東京都中央区日本橋堀留町一丁目10番11号
井門堀留ビル5階
TEL ：03-3249-4103
FAX ：03-3249-6130

財団法人くまもとテクノ産業財団
[KPJC]
〒861-2202
熊本県上益城郡益城町田原2081番地10
TEL ：096-289-5522
FAX ：096-289-5212

社団法人中部産業連盟
[中産連]
〒461-8580
愛知県名古屋市東区白壁三丁目12-13
中産連ビル7F
TEL ：052-931-7701
FAX ：052-931-7702

財団法人関西情報・産業活性化センター
[KIIS]
〒530-0001
大阪府大阪市北区梅田一丁目3番1-800
大阪駅前第1ビル8Ｆ
TEL ：06-6346-2545
FAX ：06-6346-2662

財団法人日本データ通信協会
[デ協]
〒170-8585
東京都豊島区巣鴨二丁目11番1号
巣鴨室町ビル７階
TEL ：03-5907-3809
FAX ：03-3910-8088

社団法人コンピュータソフトウェア協会
[CSAJ]
〒107-0052
東京都港区赤坂1-9-15
日本自転車会館1号館5F
TEL ：03-3560-8444
FAX ：03-3560-8445

特定非営利活動法人みちのく情報セキュリティ推進機構
[TPJC]
〒980-0012
宮城県仙台市青葉区錦町一丁目5番1号　N-ovalビル
TEL ：022-393-8088
FAX ：022-393-8090

社団法人日本印刷産業連合会
[日印産連]
〒104-0041
東京都中央区新富１－１６－８
日本印刷会館内
TEL ：03-3553-6065
FAX ：03-3553-6091

財団法人放送セキュリティセンター
[SARC]
〒107-0052
東京都港区赤坂二丁目21番25号
TEL ：03-3585-6494
FAX ：03-3585-6271
一般社団法人北海道ＩＴ推進協会
[DPJC]
〒060-0002
北海道札幌市中央区北二条西三丁目1番地
札幌ビルディング
TEL ：011-590-1109
FAX ：011-207-1367

特定非営利活動法人中四国マネジメントシステム推進機構
[中四国MS機構]
〒732-0821
広島県広島市南区大須賀17番5号
シャンボール広交204号室
TEL ：082-236-3115
FAX ：082-236-3116

一般社団法人モバイル・コンテンツ・フォーラム
[MCF]
〒150-0011
東京都渋谷区東三丁目22番8号
TEL ：03-5468-5091
FAX ：03-5468-1237


認定機関自体はかなり数が少ないです。
どこを選ぶか、という事も出来ません。協会員や賛助会員になっていないと受け付けてくれない認定団体もあります。

会員になっていない場合は、本社のある地域を担当している組織に依頼する事になります。

プライバシーマーク 12-3 計画書 書類審査でチェックされる事項

審査項目
事業の代表者の承認を受けて教育計画を策定するように規定している。


文書審査の着眼点
●教育計画書を確実に作成できるように手順を明確に記述している。
●教育計画書を事業の代表者（又は権限の委任を受けた管理者）が承認している。



審査項目
事業の代表者の承認を受けて監査計画を策定するように規定している。


文書審査の着眼点
●監査計画書を確実に作成できるように手順を明確に記述している。
●監査計画書を事業の代表者（又は権限の委任を受けた管理者）が承認している。。

プライバシーマーク 12-2 計画書 監査計画書

監査計画書は個人情報保護マネジメントシステムの監査を実施する計画です。
監査の内容は、3.7.2監査の章で具体的に説明します。
ここでは、監査計画書について記述します。

マネジメントシステムは基本的にPDCAを廻すという認識がある為、必ず監査が必要になります。
監査はCのチェック（Check）になります。
このPDCAは基本的に一年を一区切りとして廻します。
この為、年間計画で、いつ監査をおこなうかを決める必要があります。

規格は一年に一回以上の内部監査実施を求めています。

年間監査計画書

個別監査計画書

ひな型はグーグルドライブにアップしてあります。
必要な方は自由にダウンロードしてください。

https://drive.google.com/file/d/0B1QrXfNRLBiwSjloVGtfdi1PR2M/view?usp=sharing

プライバシーマーク 12-1 計画書 教育計画書

教育計画書は、個人情報保護マネジメントシステムを従業者に教育する上での計画です。
個人情報保護マネジメントシステムは全従業者を対象にしている為、取締役、正社員、パート、アルバイト、派遣社員等にも必要です。
※ただし、派遣社員の場合は雇用関係の問題がある為、派遣元と協議する必要があります。

教育計画書は実施可能な程度で具体的な記述を求められています。
また記述の方法は、年間計画書でも個別計画書でもどちらでも構いません。
また全従業者を対象としていますが、個人情報に関わりのある業務従事者と全く関わりの無い業務従事者とで教育の内容を同一にする必要はありません。
関わりのある従業者にはより詳しく教育をおこない、関わりの無い従業者には概略の教育をおこなう。
それを計画書に落とし込めば簡単に作成できます。

尚、規格では、一年に1回以上の教育実施を要求しています。

年間計画書

個別計画書

ひな型はグーグルドライブにアップしてありますのでご自由にダウンロードしてください。
https://drive.google.com/file/d/0B1QrXfNRLBiwUDM0bERSbjZiYkk/view?usp=sharing

プライバシーマーク 事業で取り扱う個人情報って何があるだろう

事業で取り扱う個人情報、これは事業内容により大きく変わります。
ＢtoＢの仕事であれば、名刺、請求書、納品書、納品先、挨拶状、社員の情報
ＢtoＢでも個人情報の委託を受けて作業（加工・発送等）を行う場合は、それらも増えます。
ＢtoＣの場合は、顧客情報がプラスされます。
更に決済等も行っていれば、クレジットカードの情報や銀行等の情報も取り扱うことになります。

個人情報を洗い出す時には、事業のフローと実際の帳票を全て洗い直す必要があります。
その際、統一できる文書があれば統一してしまうのも一つの手法です。

文書ばかりを増やすのが目的ではありません。
如何に個人情報を護るかが主目的です。
文書を増やして、個人情報の拡散、取扱者の増加等が起これば、リスクが増えますよね。

事業で取り扱う個人情報を洗い出す時は、漏れなく行う為にも、時間をかける必要があります。

プライバシーマーク認証はリスクマネジメントです。

プライバシーマークの認証付与は、リスクマネジメントシステムです。

これはプライバシーマークの目的が、個人情報の流出を起こさせない事になっている為です。
それだけ現在個人情報に対する流出・漏洩等の事故が多いと言うことでもあります。

現在の審査機関は、個人情報を流出させないためのシステム作りという観点から審査を行っています。
この為、予防措置はあっても、是正処置は無いと考えてシステム作りを行わなければなりません。
この意味は、事前に潰せるリスクは徹底的に潰すと言うことになります。

ＩＳＯと同じようにとらえて取り組まれると、そのあたりに違和感を覚えるかもしれません。

ただし、ＰＤＣＡのスタイルはとっていますので、ＰＤＣＡのサイクルを回さなければなりません。

一年ごとの見直しにより、ＰＤＣＡを回します。
この一年のうちに、計画し、行った事をチェックし、出来ていない事が無いか、変更が無かったか（組織・業態・業種・業務内容・システム・人事・装置・事務所等）、システムとしてひずみが無いか、資金的・人的に残存リスクに対応できるのか、出来ないのか等々のチェックを行い、処置を行う、そして新たに計画を立てるを繰り返していきます。

この点は、ＩＳＯに比べると最初に徹底的にリスクを潰すので次年次以降は、運用は楽になります。

プライバシーマークをＩＳＯと一緒に捉えない事です。

出来ればＩＳＯの認証を取るより先にプライバシーマークを取った方が良いかもしれません。

プライバシーマーク 12 計画書

規格の3.3.6は、計画書について記述されています。

規格の文面からも判る様に、計画書は教育と監査だけで必要になる物ではありません。

規格には

個人情報保護マネジメントシステムを確実に実施する為に必要な教育、監査等の計画を～～

とありますので、個人情報保護マネジメントシステムを確実に運用する為に、目標等を定める物に関しては計画書が必要になります。

少なくとも、最低限教育計画書と監査計画書は必須です。

また、計画書は事業の代表者の承認（立案からしても良い）が必要です。

個人情報保護管理者が事業の代表者の承認を得ず計画の立案から実行をおこなっている事業体が見受けられますが、不適合です。

不適合になる理由は、事業の何であれ、事業に関わる計画は事業の代表者が全体を見つつ、諸般の事情を勘案しておこなう経営判断の一つです。

個人情報保護マネジメントシステムも経営判断の一つです。

この為、事業の代表者の承認が必要になります。

ただし、個人情報保護管理者が業務の委任を事業の代表者から受けている場合は、この限りではありません。

この場合、適正な手続きによって委任されていることが条件になります。

プライバシーマーク 11-18 内部規程 現地審査でチェックされる事項

審査項目
取締役会の決議を経過する等、一定の手続きを定めている。


現地審査の着眼点
内部規程は経営責任を明確にする為、取締役会等、代表取締役等が出席する会議体の決議を経る等の一定の手続きを経過して定めている。


運用確認のエビデンス

• 一定の手続きを経て定められたことを示す記録

審査項目
a)～o)を含む規程を従業者が参照できる。


現地審査の着眼点
従業者がどこに何があるか判別でき、容易に参照できる環境にある。

※規程集として1冊にまとめる必要はない。
※紙媒体でなくても良い。
※規程は従業者が必要な範囲で参照出来ればよい。個人情報に関わらない業務従事者に手順書レベルの規程は必要ではない。

運用確認のエビデンス

• 従業者が参照できる環境にある。又は措置が取られている。

審査項目
文書化した内部規程を維持している。


現地審査の着眼点
この項目は3.5.2文書管理で審査します。



審査項目
必要に応じて内部規程を改正している。


現地審査の着眼点
この項目は3.5.2文書管理及び3.7.2監査で審査します。

プライバシーマーク 社長が個人情報保護方針を作る。

事業の代表者が個人情報保護方針を作る事になっています。
事業規模にもよりますが、大抵は、社長。大きい企業になりますと代表権を持っている人、取締役会とも解釈できます。

個人情報保護方針には以下の事を記述して文書化を行わなければなりません。
1-何のために個人情報の保護活動を行うのか。
事業内容を絡めて、個人情報保護の為に取り組む姿勢や基本的な考え方を記述します。

2-個人情報保護の為にどういった内容の活動を行うのか。
a-個人情報の取得や利用及び提供。
b-個人情報に関連する法令、国が定める指針、その他の規範を守る事。これには事業上の事業内容により関わってくる法令等もありますので、事業の内容により対象になる法令が変わってきます。また、業界団体のガイドライン等も含まれます（加入していなくても、対象となります）。
c-個人情報が漏洩、滅失、毀損、消失させないための防止策と是正。
d-個人情報の苦情や相談に対応する事。
e-ＰＭＳ（個人情報保護マネジメントシステム）の継続的改善に関する事。
以上の事をコミットメント（宣言し、責任を持って実行する事）します。

コミットメントした文書に対して、いつ、だれが責任を持つのかを明記します。
日付と社長の名前が入ります。

もちろん、誰かに指示して作らせても構いませんが、必ず目を通し、コミットする必要があります。
基本的に、トップマネジメントが作る事になっていますので、内容を知らないではダメです。

他社の個人情報保護方針を見るとよく判ると思いますが、冒頭部は、会社がPマークを何故必要とするか、うちの会社はこうなんだっと言う想いが込められる部分があります。

ですから、冒頭部分だけでも社長は、実務をする人と十分に話し合ってコンセンサスをとる必要があります。

プライバシーマーク 現地審査

書類審査が終われば現地審査になります。

現地審査では実際にどのように運用されているかの確認が行われます。

ここでも、JIS Q 15001に対する不適合等が指摘される可能性がありますが、指摘された方が改善が楽になるので、指摘されたからといって、恐れる必要はありません。

指摘された事項を是正して報告書を提出します。

この後、審査機関により認定の通知が行われれば、マークの使用料を払い込みＰマーク付与契約の成立になり認定したと公表されます。

プライバシーマーク 11-17 内部規程 書類審査でチェックされる事項

審査項目
a)～o)に該当する具体的な手順書レベルの規程がある。


文書審査の着眼点
規格と同様の象徴的な文言で書かれていないこと。具体的な手順書レベルまで落としこんだ規程を作成している。



審査項目
文書化した内部規程の維持について規程し、記述している。


文書審査の着眼点
※この項目は3.5.2 文書管理で審査します。



審査項目
内部規程の改正について規程し、記述している。


文書審査の着眼点
※この項目は3.5.2文書管理及び3.7.2監査で審査します。

プライバシーマーク 書類審査を待つ

書類を作成し提出したら、書類審査を待ちます。

書類審査は、認定機関の込み具合により変わってきますので一ヶ月から二カ月ほどと思ってください。

その後、書類審査について、合否が審査機関から伝えられます。

また是正処置を施すように指摘されます。

指摘された事項についてはJIS Q 15001の要求事項が欠落している、不十分、よく判らない等ありますので、指摘事項に従い修正を行い再提出します。

その間も修正箇所が出てくると思いますので、書類審査期間中だからといって、運用を止めるような事をしてはなりません。

プライバシーマーク 11-16 規程 o) 内部規程の違反に関する罰則の規程

個人情報の取扱いについて、PMSの定めに違反した場合の罰則処置をルール化します。
実際の罰則規程は、現在就業規則等で既に定められている規則を適応する事も可能です。
既にある規則を適用する場合には、内部規程の違反に関する罰則の規程の中で適用する規則を明示します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。

プライバシーマーク 11-15 規程 n) 代表者による見直しに関する規程

規格の3.9にある『事業者の代表者による見直し』にのっとった規程です。
詳細は後ほど3.9のところで述べるとして、ここでは規程（ルール）作りについて説明します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。

社長による見直しは、不適合の改善を行うことのみではなく、PMSをより良いものにしていくために行うもので、PMSのフレームワークを根本的に見直す事です。
根本的に見直す為に、手順をルール化する必要があります。

社長による見直しには、次のインプット事項が含まれなければなりません。

• 監査及びPMS運用状況に関する報告
• 苦情を含む外部からの意見
• 前回の見直しの結果に対するフォローアップ
• 個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況
• 社会情勢の変化、国民の認識の変化、技術の進歩等の諸環境の変化
• 事業者の事業領域の変化
• 内外から寄せられた改善のための提案。

プライバシーマーク 一回目のマネジメントレビュー終了後、審査機関に書類を提出

マネジメントレビューが済んだら、審査機関に書類を提出します。

申請書類は

プライバシーマーク付与認定申請チェック表（紙媒体で提出） 様式2006-0

プライバシーマーク付与申請書（代表者印の捺印があること） 様式2006-1新規

会社概要 様式2006-2

取扱う個人情報の概要 様式2006-3

認定を受けようとする事業所の所在地及び業務内容 様式2006-4

個人情報保護体制 様式2006-5

（JIS Q 15001に準拠した）個人情報保護マネジメントシステム（PMS）文書の一覧 様式2006-6

JIS要求事項との対応表 様式2006-7

教育実施記録（全ての従業者に実施した教育実施記録） 様式2006-8

監査実施記録（全ての部門に実施した監査実施記録） 様式2006-9

事業者の代表者による見直し実施記録 様式2006-10

登記事項証明書（「履歴事項全部証明書」あるいは「現在事項全部証明書」）等、申請事業者の実在を証する公的書類
（申請の日前３ヶ月以内に発行のもの。コピー不可）

定款、寄付行為その他これに準ずる規程類

会社パンフレット（ある場合）

個人情報保護マネジメントシステム（PMS）文書一式（様式2006-6に記載の文書全て）

JIS要求事項との対応表(様式2006-7)の「使用する様式」欄に記載した全ての様式>
（記入されていない様式見本）


これらの書類が必要になります。

ダウンロード先：財団法人日本情報処理開発協会　プライバシーマーク事務局

プライバシーマーク 内部監査とマネジメントレビュー

内部監査の結果を基に、第一回のマネジメントレビュー（経営者による見直し）を行います。

マネジメントレビュー（経営者による見直し）は、JIS Q 15001で要求されている最低限のインプットのほか、会社で必要な事を経営者に報告報告し、経営者が判断し、経営者が指示を出します。

ここで経営者がどんな判断をしていいか判らないっという事にならないように頑張ってください。

サポートとして、よく判っている人にアドバイスをもらい、判断すると言うのもありです。

経営者はトップセールスマンである為、なかなかＰＭＳの仕組み作りには参加できない場合も多くあります。

それを補うために、個人情報保護管理者が居ますので、専門知識の解説は個人情報保護管理者に求めるのも良いでしょう。

逆に言えば、個人情報保護管理者は経営者に判りやすい様に報告する義務があります。

プライバシーマーク 11-14 規程 m) 是正処置及び予防処置に関する規程

規格の3.8にある『是正処置及び予防処置』にのっとった規程です。
詳細は後ほど3.8のところで述べるとして、ここでは規程（ルール）作りについて説明します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。


不適合は、外部機関の指摘、緊急事態の発生、点検の結果（運用の確認の結果、監査の結果）、外部からの苦情、内部からの苦情等により発見されます。
不適合に対しての、是正処置及び予防処置の手順を決めます。
是正処置は発生した不適合に対応する事です。
予防処置は、発生した不適合の事項を踏まえ、類似の不適合が他の個所、部署、部門にも発生する可能性がある場合、必要に応じて事前に処置する事です。


是正処置・予防処置ともに再発を防止する為に、次の事項を含ませる必要性があります。

• 不適合の内容を確認する・不適合の原因を特定し、是正処置及び予防処置を立案する
• 期限を定めて、立案された処置を実施する
• 実施された是正処置及び予防処置の結果を記録する
• 実施された是正処置及び予防処置の有効性をレヴューする。

上記の四点を項目立てすると以下の様になります。

• 不適合の発見・内容
• 不適合の原因追求
• 不適合に対する対策案
• 対策案の実施
• 対策の結果
• 対策の評価
• 報告

プライバシーマーク 運用開始後の手直し。

本格的な運用（規程類が一通り揃った状態）を開始して、実際の手順と大きくかい離するような場合は、手順の見直し、マネジメントシステムを見直し行います。

一部の従業者だけではなく、実際に作業を行う人たちに、今あるマネジメントシステムの評価をさせ、修正を加えます。又は、内部監査を実施して、乖離点を洗い出します。

最初の段階では、修正が必要ではない事はありません。ゴロゴロと修正点が出てきます。

末端の人達がどのように動かしているか、事務局の人間で把握しきれていない事が発生するからです。

また、教育を施した結果、これまで個人情報ではないと思っていた情報が個人情報であったと判明する場合もあります。

組織が大きくなれば大きくなるほど、そのような現象は増えますので、一定期間マネジメントシステムを回してから、修正を行います。

修正を行ったら、文書管理規程にのっとり、規程類を再発行してください。

プライバシーマーク 11-13 規程 l) 点検に関する規程

規格の3.7にある『点検』にのっとった規程です。
詳細は後ほど3.7のところで述べるとして、ここでは規程（ルール）作りについて説明します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。

規程には

• 3.7.1　運用の点検
• 3.7.2　監査

この２項目があります。

ボリューム的に分冊する必要が無く、一つの規程に収めることが可能です。



3.7　点検の概略

点検とは、運用の確認と監査です。

運用の確認とは、各部門や各階層において日常的に個人情報の取扱い状況について確認を実施する事です。
日常の確認により、ルールに対し不適合な事項や、是正・改善の必要がある事項について対処する活動になります。
また抽出した残存リスクが顕在化していないかを確認する事も含まれます。
運用の確認により、不適合の早期発見に繋がるルール作りを行います。

監査とは、PMSの整備状況、PMSに基づく体制の整備状況、運用状況、是正・改善、見直しを行った結果によりPMS文書にJISとの不整合の発生の有無、これらについて定期的か必要に応じて点検し評価を行います。
決めるルールには次のことを含む必要があります。

• 目的
• 対象
• 期間（時期）
• 実施体制
• 監査担当者の責務と権限・倫理・守秘義務
• 計画（基本計画・個別計画・社長による計画の承認）
• 被監査部門への通知の手続き
• 実施の手続き
• 監査報告書（提出先、報告会）
• フォローアップ
• 監査記録の方法・内容・保管

監査には第１者監査（内部監査）、第２者監査（関係団体の監査）、第３者監査（審査機関等の監査）があります。

プライバシーマーク 運用の注意点。

最初の教育が済んだ時点で、既に運用は始まっています。

決められたルールを規定化する際にも、新規で決めたルール以外は、既存のルールを規定化するだけなので、運用が始まっていると認識してください。


決められたルールで個人情報保護の仕組みを動かしていきます。

ここで、実際に行われる手順とルールに乖離があると、マネジメントシステムは形だけのお荷物になります。

出来る限り乖離を無くしていきます。飾ったルールを作ってはダメです。

個人情報を取り扱っていると言う意識は大切ですが、その為に業務に影響を及ぼすようでは、本末転倒になってしまいます。

出来るだけ、個人情報保護の仕組みや手順は、実際の業務の仕組みに組み込むようにします。

業務自体はルーチンワークで行っている感覚にまで、落とし込む必要性があります。

個人情報保護マネジメントシステムで決まっているから、ルールで決められているから、という理由で、それまで即日出荷で来ていたものが、二日後になってしまうと言うのでは、ユーザーは離れてしまういます。

ユーザーにとって個人情報を大切にしてくれる会社だから仕方が無い、手に取るのが遅くなっても仕方が無いっという感覚はまだありません。

あ～この会社は個人情報も大切に取り扱ってくれているんだ。しかも仕事が早い。

良い会社だね。

どうせ同じ値段で同じサービスなら、個人情報大切にしてくれる会社がいいよねという評価になります。

そこに同列にある会社との差別化が出来ますので、業務に支障をきたすようなマネジメントシステムでは、お話しになりません。

プライバシーマーク 11-12 規程 k) 苦情及び相談への対応に関する規程

規格の3.6にある『苦情及び相談への対応』にのっとった規程です。
詳細は後ほど3.6のところで述べるとして、ここでは規程（ルール）作りについて説明します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。


会社は該当する本人からの、個人情報に対する苦情及び相談に対しては、迅速に対応する必要があります。

開示等への求めへの対応と同様に、初期段階で的確に対応しなかったがために、事案をこじらせる原因にもなります。
ルールを決める際は、初期対応を十分考慮して決めるようにしましょう。

また、本人からの苦情は、PMSの不適合を発見するはじめの一歩になる場合もありますし、不適合までいかなくても、PMSを見直す際の重要な意見になる場合があります。
重要度により、社長に報告する事を決める必要があります。

プライバシーマーク 個人情報保護マネジメントシステムの運用

内部規定も一通り出来たので、実際にマネジメントシステムの運用に入ります。

運用する為には、従業者へ対する教育が前提となります。

まずは自社の個人情報保護マネジメントシステムの教育を行いましょう。

教育担当者は、個人情報保護マネジメントシステム（個人情報保護の仕組み）を作った人たち（事務局）で行うのが、一般的です。

理由は、これまで内部規程を作ってきて、仕組みをよく理解しているという点です。

仕組みをよく理解しているので教える事が出来ます。

また、教えているうちに、不具合等が発見しやすくなります。

教育する項目は

個人情報保護方針
個人情報保護マニュアル
各種規程
その他、それぞれの部署で必要とされる事です。

近年特にコンプライアンス違反による個人情報流出事故が多い為、

個人情報を流出したらどうなるか、という問題を真っ先に教育するのがよいでしょう。

故意にしろ任意にしろ流出してしまった情報は、回収できるとは限りません。

第三者に渡った時点で悪用される可能性が大きくなります。

会社への損害、流出っせてしまった人への懲罰など、脅すという側面も必要です。

特に個人消費者を相手にしている、商売の方は、特に留意しなければなりません。

個人の情報、商売柄機微な情報に属する可能性がある場合は、取り扱いに関しては何度も何度も見直す必要性があります。

また、従業者の個人情報を取り扱う部門も特に留意して個人情報の教育を行う必要があります。

プライバシーマーク 11-11 規程 j) 個人情報保護マネジメントシステム文書の管理に関する規程

規格の3.5にある『個人情報保護マネジメントシステム文書』にのっとった規程です。
詳細は後ほど3.5のところで述べるとして、ここでは規程（ルール）作りについて説明します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。

規格の
3.5.1　文書の範囲
3.5.2　文書管理
3.5.3　記録の管理

これらが対象になります。

個人情報保護マネジメントシステム（PMS）の内容をルール決めした文書、運用によって発生した記録類を適正に管理する為のルールを決めるのが、文書管理規程になります。

最低限文書化しなければならない物は、「個人情報保護方針」「内部規程」「計画書」「記録類」になります。

特に記録については、PMSの運用を開始すると様々なタイミングで記録をつける事により、監査の際の証拠（エビデンス）を確保する必要性があります。

文書管理の手順については既にほかのマネジメントシステムなどで文書管理規程があれば、改めて制定する必要は無く、流用する事が出来ます。

プライバシーマーク 11-10 規程 i) 教育に関する規程

規格の3.4.5にある『教育』にのっとった規程です。
詳細は後ほど3.4.5のところで述べるとして、ここでは規程（ルール）作りについて説明します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。


規程には3.4.5 a)～ｃ）の内容を含めて記述しなければなりません。
規格の3.4.5 a)～c)　をまる写しにする必要があります。

• 個人情報保護マネジメントシステムの仕組みに適合する重要性とメリット
• 個人情報保護マネジメントシステムの仕組みに適合する為の役割と責任
• 個人情報保護マネジメントシステムの仕組みに違反した場合に想定される結果

またこの内容は、教育で使う資料やレジュメ、教育計画書等にも記述します。

教育については、内部統制、内部の不正アクセス、不正持ち出しをおこさせないための処置ですから、この部分を怠ると、個人情報が流出し、社会の注目を集め、莫大な資金と労力を使う事になります。

この他に

• 項目
• 目的
• 時期
• 期間
• 対象
• 内容
• 方法
• 場所
• 体制
• 通知手続き
• 受講者の管理方法
• 効果の確認
• 実施記録の内容
• 保管の方法

これらの項目も必要になります。

プライバシーマーク 11-9 規程 h) 本人からの開示等の求めへの対応に関する規程

規格の3.4.4にある『個人情報に関する本人の権利』にのっとった規程です。
詳細は後ほど3.4.4のところで述べるとして、ここでは規程（ルール）作りについて説明します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。

また、3.4.4には
3.3.4.1　個人情報に関する権利
3.3.4.2　開示等の求めに応じる手続き
3.3.4.3　開示対象個人情報に関する周知など
3.3.4.4　開示対象個人情報の利用目的の通知
3.3.4.5　開示対象個人情報の開示
3.4.4.6　開示対象個人情報の訂正、追加または削除
3.4.4.7　開示対象個人情報の利用又は提供の拒否権

このように規格項目が多岐にわたっていますが、一つの規程にまとめる事が出来ます。


開示対象個人情報は、当該本人に開示等を求める権利が認められています。
この為に、当該本人等からの開示等の求めに、どのように対応するかを詳細にルールを決める必要があります。

個人情報でのトラブルは、当該本人等からの開示等の求めに的確に応じ無かった事が原因で起きる場合が多々あります。
この為、このルール決め（規程化）は、本人等からの求めに的確に対応出来るように作ります。

本人等からの求めにより開示等に対応する場合は、成りすまし等による個人情報の漏洩を防止するルール決めも必要になります。
本人確認を適切にかつ、適正に実施する手順のルールを、自社に合った内容で作る必要があります。

プライバシーマーク 11-8 規程 g) 個人情報の適正管理に関する規程

規格の3.4.3にある『適正管理』にのっとった規程です。
詳細は後ほど3.4.3のところで述べるとして、ここでは規程（ルール）作りについて説明します。


規程は、
まる写しにするのではなく、具体的な手順を定める事。
社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
従業者が、どこに何があり、簡単に参照できる事。
発行、改訂の際、承認を得る事。
これらを踏まえて、規程を作ります。

また、3.4.3には
3.4.3.1　正確性の確保
3.4.3.2　安全管理措置
3.4.3.3　従業者の監督
3.4.3.4　委託先の監督

このように規格項目が多岐にわたり、なお且つ、それぞれの項目にボリュームがあります。
これらの項目を一つにまとめることは至難の業になります。
また安全管理措置では、様々な安全管理措置が求められます。
要求されている安全管理措置を一つにまとめると、関係の無い部署にまで分厚い安全管理処置に関する規定が配布されてしまい、効果が発揮できませんので、ある程度分冊して作る必要性があります。


3.4.3では、個人情報を適正に管理を行う為のルールを決めます。
適正に管理を行うという行為には、個人情報の「正確性の確保」と「安全性を確保する」ルールが必要になります。

個人情報の正確性の確保を行う為には、・データ処理システムの運用、・データ更新手続き、・処理結果の確認等、実際に個人情報を取扱う担当者のミスを防止する為のルール作りになります。

安全性を確保する為には、合理的な安全対策に関してルールを決める必要があります。
具体的な安全対策の措置は、経済産業省の発行している「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」に法第20条関連として、記載されている措置、JIPDECが発行する「個人情報保護マネジメントプログラム実施のためのガイドライン」に記載されている措置を参考にして、自社にあった対策をルール化します。

少なくとも、入退室の管理、個人情報盗難防止処置、アクセス制限、不正ソフト対策、システムの監視、個人情報の保管・破棄・バックアップ等の個人情報の管理、委託先の選定基準・委託先との契約基準等の委託先の監督。
これらのルールが必要になります。

プライバシーマーク 11-7 規程 ｆ） 個人情報の取得、利用及び提供に関する規程

規格の3.4.2にある『取得、』利用、提供に関する原則』にのっとった規程です。
詳細は後ほど3.4.2のところで述べるとして、ここでは規程（ルール）作りについて説明します。

規程は、

• まる写しにするのではなく、具体的な手順を定める事。
• 社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
• 従業者が、どこに何があり、簡単に参照できる事。
• 発行、改訂の際、承認を得る事。

これらを踏まえて、規程を作ります。

また、3.4.2には

3.4.2.1　利用目的の特定
3.4.2.2　適正な取得
3.4.2.3　特定の機微な個人情報の取得の制限
3.4.2.4　本人から直接書面によって取得する場合の措置
3.4.2.5　個人情報を3.4.2.4以外の方法によって取得した場合の措置
3.4.2.6　利用に関する措置
3.4.2.7　本人にアクセスする場合の措置
3.4.2.8　提供に関する措置

このように規格項目が多岐にわたり、なお且つ、それぞれの項目にボリュームがあります。

規程　個人情報の取得、利用及び提供に関する規程はこれらを含んだ規程を作る為、一つにまとめる事は容易ではありません。

規程を作る場合は

• 個人情報の種類
• 業務フロー
• 規格項目別

これらに分けてつくったり、これらを統合して作ります。

これは、組織に合わせて作るしかなく、雛型等に合わせて作っても、その雛型が組織に会ってない場合、規程が機能しなくなります。

規程が機能しなくなると、個人情報の流出等の個人情報事故に繋がる場合が多くあります。

規程はルールですから、組織に合わせたルールを作ります。ルールに合わせた組織を作ると破綻します。

破綻すると、規程はただの飾り物にしかなりません。

個人情報事故が発生すると、企業にとって多大な金銭的負担と信用の失墜が起こり、最悪の場合再起不能になります。

そうならない為にも、規程作りは『組織に合わせた規程作り』をしましょう。

それでも、ＩＳＯは役に立たない、無駄、不要だ

色々とＩＳＯについて述べてきましたが、それでもＩＳＯは役に立たない、無駄だ、不要だ、やる必要がない。

そう考えていらっしゃる経営者や経営陣も多いかと思います。

会社の経営は順調、右肩上がりの成長をしている、不良もない、クレームも起きていない、今のままでも問題なし！！であれば、ＩＳＯやコンサルタントは必要ないですね。

すでに良いシステムが会社の中にあるのでしょう。

会社の経営はまずい、このところ年々左肩下がり、不良や返品が多発している、顧客からのクレームが多い、今のままじゃダメだ、でもＩＳＯはやりたくない！！コンサルタントなんて入れたくない！！

そういう経営者や、社長さんもいらっしゃいますよね。

そこまでなぜＩＳＯを毛嫌いするか判りませんが信念が御有りなのでしょう。

コンサルタントに過去カモにされてしまった事があるのかもしれません。

その当時の情報量や社会的情勢が悪徳コンサルタントを生み出していたのかもしれません。

（今も似たような時代ですが）


そういった方々にはもう、これしかありません。




金運アップグッズです。



コンサルタントを入れないとすると、もうこれしか残っていません。

風水術や金運グッズで会社自体の運勢を上げるしか、この不景気を乗り越える方法が思いつきません。

美味い情報はタダでは出ません。

ネットや書籍で公開されている情報は、呼び水的要素の大きい情報です。

それだけやっても、上手く行くはずがありません。

まして経営改善は、会社会社で対応が異なります。

重点を置くところが異なります。

後は、金運を上げるように頑張るしかないです。

プライバシーマーク 11-6 規程 e) 緊急事態（個人情報が漏洩、滅失又は毀損した場合）への準備及び対応に関する規程

規格の3.3.7にある緊急事態への準備にのっとった規程です。
詳細は後ほど3.3.7のところで述べるとして、ここでは規程（ルール）作りについて説明します。

JISQ15001の規格には

• 漏洩、消失、毀損等が起きてしまった個人情報の内容を該当者に速やかに通知するか、該当者が容易に知る事のできるような処置を取る事。
• 二次被害、三次被害等の防止や類似の事件の発生を回避する為に、漏洩、焼失、毀損等の事実関係や発生原因、対応策等を遅れる事無く公表する事。
• 漏洩、消失、毀損等の事実関係や発生原因、対応策を関係機関にすぐに報告を行う事。

これらについてルール化するように求めています。

規程は、

• まる写しにするのではなく、具体的な手順を定める事。
• 社長の承認や取締役会の決議による承認等、一定の手続きを経て、規定化されている事。
• 従業者が、どこに何があり、簡単に参照できる事。
• 発行、改訂の際、承認を得る事。

これらを踏まえて、規程を作ります。

ＩＳＯの文書のひな型・サンプル・例に関して

ＩＳＯの文書のひな型や例、サンプルを担当者が欲しいと思ってしまうのは、何を書いたらいいか判らない。

規程や手順書、マニュアルなどどう書いていいか判らない。

品質目標をどう書いていいか判らない。

ネットで探す、書店で参考書を探す。

当社でもひな型は用意しています。

この方法を使えば、かなりの近道ですが、それを如何に自分たちの組織に合わせて作り直すかが問題となります。

この時点で、「まる写し」をしてしまうと、お荷物や厄介物のＩＳＯになる可能性が大きくあります。

こうなってしまうのは、コンサルタントや事務局の説明不足が原因と考えられます。

品質目標の具体例が欲しい。

何故具体例が欲しいか？

どうやって作ったらいいか判らない。

どうやって設定したらいいか判らない。

これであっているかどうか不安。

そういう場合は、事務局に聞くか、コンサルタントに聞きましょう。

そして、答は自分たちで出来る事を見つけ出す事です。

無理難題な設定をしてもそれは、品質方針に合ってない場合もありますし、達成がどう見ても不可能なお題目になりかねない場合があります。

また、すでにＩＳＯが重荷やお荷物になっている可能性もあります。

重荷やお荷物になっているのであれば、見直しが必要です。

プライバシーマーク 11-5 規程 d) 事業者の各部門及び階層における個人情報を保護する為の権限及び責任に関する規程

ＰＭＳを運用するにあたり、全てにおいて社長が関わり合えればいいのですが、そうもいきません。
そこで、PMSに於ける責任と権限をある程度個人情報保護管理責任者に委任します。

個人情報保護管理者の管理下で、個人情報の取扱いを担当する組織（会社）の各階層（社長・個人情報保護責任者・個人情報保護監査責任者・相談窓口担当者・その他部長・課長・係長・主任等）と各部門での責任と権限を明文化し、ルール化します。

支社や営業所等がある場合は、本社だけではなく、支社や営業所においても同様に規定する必要があります。

具体的な組織体制は以下のようになります。

社長
｜
｜---―監査責任者―----監査チーム
｜　　　　　　　　　　　　　　      ｜
｜　　　　　　　　　　　　　　      ｜
個人情報保護責任者　     　  ｜
｜　　　　　　　　　　　　　　      ｜
｜―推進チーム　　　　　  内部監査員
｜
｜
部門責任者
｜
｜
部署責任者（必要であれば）


これはあくまで大まかであり、必要であれば、さらに細分化する事もあります。


具体的に、それぞれの役職の責任と権限を明文化します。

社長の責任と権限とは・・・

個人情報保護責任者の責任と権限とは・・・

個人情報保護監査責任者の責任と権限とは・・・


PMSの体制図や役職は、規程に明記するのは当然ですが、社内で掲示する等して、誰が何の役職かを全ての従業者に把握させる必要があります。

現地審査の時に、審査員から従業者へのインタビューで質問される場合がありますので、従業者に把握できるようにしておきます。

プライバシーマーク 11-4 規程 c) 個人情報に関するリスクの認識、分析及び対策の手順に関する規程

把握した個人情報に関するリスクを認識し、分析し、対策を立てる手順を規格では要求しています。

具体的には
リスクの認識、分析及び対策を確実に実施できる手順を明確に決める。

• 個人情報のリスクをライフサイクル毎に洗い出す。
• リスクの分析をする。
• 分析に基づき対策を立てる。
• 残存リスクを把握する。

業務の流れを明らかにし、取り扱いの局面でのリスクを具体的に認識する事。
対策や残存リスクを分析表等の帳票に反映させ、運用している事。
リスクと対策に関連性がある事。
適正な扱いからの分析対策を行う事。
コンプライアンス違反もリスクとして認識する事。
リスク対策について代表者の承認を得る手順を決める。
対策を規定化（ルール化）している事。
具体的な時期を決めて、定期又は随時の見直しを行う手順を明確にしている事。
決めた手順に従って実施ている事。

これらの事を規程に盛り込みます。

リスクの洗い出し等の具体的な手法については、

• プライバシーマーク　08-1　個人情報のリスクの認識　分析及び対策　リスクの認識
• プライバシーマーク　08-2　個人情報のリスクの認識　分析及び対策　リスク対策
• プライバシーマーク　08-3　取り得る最良の措置とは
• プライバシーマーク　08-4　リスクの変動に対する定期的な見直しを行うために明文化する。
• プライバシーマーク　08-5　残存リスクの把握と管理
• プライバシーマーク　08-6　規程への関連付けとリスク対策の周知

こちらで述べておりますので参考にしてください。

プライバシーマーク 11-3 規程 b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規程

プライバシーマーク　07　法令、国が定める指針その他の規範を特定する　b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規程で特定した法令、指針、その他の規範を規定化（ルール化）します。

ここでは、

• 法令等を特定する手順（法令の特定の仕方）を決める。
• 特定した法令等を管理者が承認する手順を決める。
• 承認の記録を取る。
• 法令等の更新の手順を決める。
• 最新版を参照できるように管理する。
• 法令などを参照する方法を決める。

これらの具体的な方法や、記録様式等を決めます。


特定する規範などは、業界によって異なります。

プライバシーマーク　07　法令、国が定める指針その他の規範を特定する　b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規程であげた法令等は各業界共通の必須・準必須の事項です。

• 個人情報保護に関する法律
• 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン（経済産業省）
• 雇用管理分野における個人情報保護に関するガイドライン（厚生労働省）
• 雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項（厚生労働省）
• 
  
• 雇用管理に関する個人情報の適正な扱いを確保する為に事業者が講じるべき処置
• 職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が。均等待遇、労働条件の明示、求職者等の個人情報の取扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対応するための指針
• 業界に適用される法令内に個人情報に関する条文がある法令
• 自社業界の自主指針
• 所在地がある都道府県の個人所法保護条例
• 所在地がある市区町村の個人情報保護条例
• 監督省庁の個人情報保護方針
• ＪＩＰＤＥＣ個人情報保護方針

通販業界は、プライバシーマーク　07-3　（例）　通販事業の法令その他の指針、ガイドライン等を参考にしてください。

プライバシーマーク 11-2 規程 a)個人情報を特定する手順に関する規程

個人情報を特定する詳細手順を規程します。

• プライバシーマーク　06-1　個人情報の特定　個人情報を洗い出す。
• プライバシーマーク　06-2　個人情報の特定　個人情報を整理する。

上記の項目で実施した手順を参考にするとともに、新たに取得する個人情報を特定する場合についても漏れが無いように手順を定める必要性があります。


規程とはルールですので、実際に行った個人情報を特定した手段について明文化します。

以下の項目をどのような手法で、特定したかをルール化します。

• 個人情報を特定するものを決める。
• 特定する方法を定めている（台帳等、特定で使用する様式を定めている事を含む）
• PMSの構築時や新規に取得する個人情報、発生した個人情報について、特定するタイミングを決める。
• 特定した個人情報を管理者が承認する手順を決める。
• 個人情報を管理する台帳などの作成について手順を決める。
• 台帳に登録する事。
• 個人情報を把握できる台帳を作る事。
• 台帳には次の事を最低限記録する事。1）個人情報の項目　2）利用目的　３）保管場所　４）保管方法　５）アクセスの権限を有するもの　６）利用期限　７）件数
• 個人情報の取り扱い期限が来た場合や変更があった場合の手順を決める。
• 具体的な時期を決めて台帳の見直しを行う手順を決める。
• 決めた事を実施している。

個人情報の特定では、これらの内容について、手順を定めます。

尚、個人情報調査票や台帳は、他の規程で使用しますので、作成する際には以下の事を含めると便利です。

• 個人情報の名称
• 個人情報の利用目的
• 個人情報に含まれている情報項目の内容
• 個人情報の取得先
• 個人情報の形態（紙媒体、電子媒体等）
• 社内利用部署
• 個人情報の入手及び入手形態（直接、間接）
• 個人情報の持つ価値、重要性等
• 個人情報の取り扱い区分（委託有無等）
• 第三者提供（提供先名）
• 共同利用（共同利用先名）
• 取扱い責任者
• アクセス権限
• 個人情報の取り扱い件数（変動する場合は慨数）及び保管期間
• 個人情報の保管方法、場所、保管状態（サーバ、キャビネット、書庫、施錠、保管区域等）
• 個人情報の外部への処理委託（委託、再委託、契約等）
• 個人情報の返却、廃棄管理（返却、廃棄、消去及びその方法）
• 開示対象個人情報か否か

https://drive.google.com/file/d/0B1QrXfNRLBiwQjdXZDZUSm1aRlE/edit?usp=sharing

個人情報調査票のひな型は、上記のURL（グーグルドライブ）からダウンロードできます。
著作権フリーです。

プライバシーマーク 11-1 作成必須の内部規程。

ＪＩＳ　Ｑ　１５００１で求められている内部規程は
a) 個人情報を特定する手順に関する規程
b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規程
c) 個人情報に関するリスクの認識、分析及び対策の手順に関する規程
d) 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規程
e) 緊急事態（個人情報が漏洩、滅失又は毀損をした場合）への準備及び対応に関する規程
f) 個人情報の取得、利用及び提供に関する規程
g) 個人情報の適正管理に関する規程
h) 本人からの開示等の求めへの対応に関する規程
i) 教育に関する規程
j) 個人情報保護マネジメントシステム文書の管理に関する規程
k) 苦情及び相談への対応に関する規程
l) 点検に関する規程
m) 是正処置及び予防処置に関する規程
n) 代表者による見直しに関する規程
o) 内部規程の違反に関する罰則の規程

この他に
文書管理規程
記録管理規程
この二つは、「手順を確立し、実施し、かつ、維持しなければならない」と規程にありますので規程を作成します。


以上の規程は、JIS Q 15001で作るように規程されています。
これらの規程には、基本規程（共通的な規程）と詳細規程（担当部署に依存する規程）があります。
担当部署に依存する詳細規程は、当該担当部署に協力を要請して規定させなければなりません。当該担当部署に協力を要請する事は、ＰＭＳの実効性を高めるため、現場の実情を反映させる必要性がある為です。

当該部署に協力を要請する際には、事前に該当部署に対して、個人情報保護方針、基本規程を十分に説明し、理解を求める必要があります。

当該部署により規定された規程は、ＰＭＳ策定チームにより個人情報保護方針、基本規程との整合性を十分に検証、確認を行い、不整合がある場合には、担当部署と協議を行い改善する必要性があります。

詳細規程を担当部署を巻き込んで作成する事により、ＰＭＳ策定過程において、関係各部署に個人情報保護方針、基本規程を周知できる大きな効果があります。

詳細規程については、既存の規程（賞罰など）を参照として適用する事も可能です。
また、a)～o)の規程以外にも、社長や組織が実情に合わせて必要とする事項は規程化する事が必要です。

業界団体のガイドライン、事業を規定した業法等の法令や国が定める指針も参考にする必要があります。
業法等の法令はJISに優先する為に、規程に反映させる必要性があります。

作った内部規程は、詳細規程を含め、JIS Q 15001の要求事項に適合している事を評価しなければなりません。

内部規程が、JIS Q 15001の要求事項に反していると、その後の運用が規程通りに実施されたとしても、意味をなさない物になってしまいます。

作った内部規程は、事業者の組織において決裁権限を有する者（社長、取締役会、役員等）によって承認を得なければなりません。