HomePMS構築手順

個人情報保護マネジメントシステム(PMS)構築手順

STEP1 基盤の策定
*保護組織の確立
*保護方針の策定と計画の立案
STEP2 現状の把握と対策
*個人情報の洗い出し
*現状確認
*リスク分析と対策
STEP3 内部規定の策定
*法令、準拠規範の把握と規定文書作成
*保護方針の策定と計画の立案
STEP4 教育の実施
*全社員への周知
*社員教育の実施
STEP5 運用の実施
*セキュリティー対策の実施
*不適合点の調整と運用実施記録の作成
STEP6 監査の実施
*監査体制
*監査内容
*報告書の作成
*是正
*見直し
STEP7 申請手続き
*申請書類の作成と提出
STEP8 審査への対応
*文書審査結果への対応
*現地審査と対応
STEP9 認定
*付与認定
ページトップへ
STEP1 基盤の策定
*保護組織の確立
 個人情報保護管理者」、「監査責任者」2名の選出
 ・個人情報保護管理者
  中心となって個人情報保護マネジメントシステム(PMS)の導入を進める方です。
  役員クラスの方が適任と言え、社長が兼任するのは好ましくありません。
 ・監査責任者
  監査責任者は社内監査に責任を持ちます。役員クラスの方が適任ですが、
  商法上の監査役は兼任できませんので、監査役以外から決定します。
 その他の役割
  「事務局」、「情報システム・リスク責任者」、「入退館管理責任者」「苦情及び相談窓口責任者」
  「教育責任者」「部門別個人情報管理者」
  適任者がいない場合には、個人情報保護管理者がその任務を果たすことになります。
*保護方針の策定と計画の立案
 JIS規格・個人情報保護法規定の内容確認と全体計画(スケジュール)の作成
ページトップへ
STEP2 現状の把握と対策
*個人情報の洗い出し
 個人情報は、「お客様の情報」「取引の情報」「社員の情報」の3つの視点で洗い出していきます。
 JIS Q 15001:2006になり、社内に存在する全ての個人情報が対象となっていますので、
 電算処理するかどうかに関わらず全て洗い出す必要があります。
 社内に存在する全ての個人情報を網羅した「個人情報台帳」を作成します。
*現状確認
 洗い出した個人情報が、どのような業務で使用されていて、どのような流れになっているのかを分析
 します。通常は業務フロー図を作成します。
 この過程において、見落とされた個人情報が存在した場合には、個人情報台帳に追記していきます。
 ただし「「個人情報台帳」の精度をあげ、次の「ライフサイクル・リスク評価表」におけるライサイクルを
 把握することが目的であって、それができるのであれば業務フロー図を全て作成することは
 JIS Q 15001:2006の要求条件には含まれていません。
*リスク分析と対策
 「個人情報台帳」にリストアップされた個人情報のそれぞれに関して、その取扱いの各局面における
 リスクを洗い出して、対策を考えていきます。
 取扱いの各局面とは通常は「取得・入力」「移送・信」「利用・加工」「保管・バックアップ」「消去・廃棄」を
 指しますが、これらに追加して「委託・提供」も追加して5つの局面を取り上げて整理するが普通になって
 います。
 それぞれの局面での主な作業内容を書き出し、そこで想定されるリスクを明確にします。
 次にそれに対する対策を明記します。ライフサイクル・リスク評価表を作成する場合には、
 似たようなライフサイクルの個人情報は統合して記述していくことが効率よく作業を進めていくコツになり
 ます。
 たとえば、「履歴書」と「職務経歴書」が同じ流れで取り扱われるのであれば、一枚の
 ライフサイクル・リスク評価表に記述することで効率を上げることができます。
ページトップへ
STEP3 内部規定の策定
*法令、準拠規範の把握と規定文書作成
 「個人情報保護方針」「個人情報保護基本規程」「詳細規程」などの規程類と、その運用に必要な
 様式類の作成を行います。
 申請時に一番重要なものがこの規定類とそれに付随する様式類の作成です。
 原則弊社で準備した個人情報保護マネジメントシステム文書(規程類・様式類)をそのまま導入しますが、
 ライフサイクル・リスク評価表の作成において、新たなリスクが発見された場合、それに対する対応を
 加筆します。
*社内承認
 完成した個人情報保護マネジメントシステム文書を社内で承認し、正式な社内ルールにします。
 この文書は、罰則規定も含まれるものですので、正式な文書として社内に周知し、徹底する必要が
 あります。
 また罰則規定を含むことから、単に社長や役員の決裁だけでは不十分であり、役員会での承認が必要
 です。
ページトップへ
STEP4 教育の実施
*全社員への周知
 正式に社内ルールとなった個人情報保護マネジメントシステムを、教育を通じて全社員に周知します。
*社内教育の実施
 ・集合研修形式
  全社員に知っていたかなければならない事項は、JIS Q 15001:2006で要求されているのは
  「個人情報保護マネジメントシステムに適合することの重要性及び利点」
  「個人情報保護マネジメントシステムに適合するための役割及び責任」
  「個人情報保護マネジメントシステムに違反した際に予想される結果」の3点です。
  その他全社員が知っておくべきセキュリティ対策や対外的な対応方針を中心に1時間程の内容で
  実施します。
  最後に理解度テストを実施します。
 ・個人学習形式
  役員、パートやアルバイトなど集合研修が難しい場合には、研修資料を配布して各自学習し
  理解度テストを回収するという方法も可能です。
ページトップへ
STEP5 運用の実施
*セキュリティー対策の実施
 社内への周知後、日常的な運用を開始します。規程で定めたことが全て実行されることが基本です。
 ・初期に実施すべきセキュリティ対策として以下のものがあります。
  「出入り口のパーテーションの整備、レイアウトの適宜見直し」
  「鍵のかかるキャビネットの整備」
  「シュレッダーの導入」
  「サーバーのアクセス権限の見直し」
  「持ち出しノートパソコンのセキュリティ対策」
 ・以下の対策を順次実施します。
  「入退室管理の実施と定期的な確認」
  「サーバーなどのログ取得と定期的な確認」
  「ウェブサイトへの必要事項の掲載」
  「個人情報を取得する文書への必要事項の盛り込み」
  「業務委託先との個人情報保護に関する覚書の締結」
  「社員の誓約書・同意書締結」
  「個人情報に関する問合せ窓口の整備」
*不適合点の調整と運用実施記録の作成
 上記対策を実施する過程で発生した不適合点の洗い出しとその対策を記録します。
ページトップへ
STEP6 監査の実施
*監査体制
 監査責任者が指揮をとり、複数の監査人を指定して監査を実施します。
 監査は規程の内容さえ理解していれば特に監査のための専門知識は必要ありません。
*監査内容
 監査は以下の内容で実施します。
 (1)自社の個人情報保護マネジメントシステムがJIS Q 15001:2006に適合しているかの確認
 (2)自社の個人情報保護マネジメントシステムが規程どおり運用されているかの確認
*報告書の作成
 チェックリストに則り監査した結果を報告書に纏めます。
*是正
 監査報告書に則り、見つかった不適合事項を修正していくことを是正といいます。
*見直し
 個人情報保護マネジメントシステムの構築のためにこれまでやってきたこと、
 第一回の監査の状況、社会的情勢の変化などを代表者に情報として提供し、翌年の計画に向けて
 コメントをもらうのが「(代表者による)見直し」です。
ページトップへ
STEP7 申請の手続き
*申請書類の作成と提出
 JIPDECや指定機関により指定されたフォーマットに必要事項を記入したものと、
 作成した個人情報保護マネジメントシステム文書の全て(記入済みの様式は不要です)を一つの
 バインダーにまとめてJIPDECか指定機関に提出します。
 申請先は、JIPDECだけでなくいくつかの指定機関を利用することもできます。
 いくつかの業界団体がプライバシーマーク付与認定指定機関として、JIPDECからプライバシーマークの
 審査業務を行う権利を付与されています。
 指定機関に申請する場合のメリットとしては、JIPDECよりも審査の絶対数が少ないために、
 比較的早く審査が進む場合があるということがあげられます。
ページトップへ
STEP8 審査への対応
*文書審査結果への対応
 申請書類を審査した結果の指摘事項が戻ってきます書類審査での指摘事項に関しては、
 できる限り、現地審査までに終わるようします。
 書類審査は3から4回の指摘事項の連絡、修正報告を繰り返して終了します。
*現地審査と対応
 書類審査後、現地審査の日程調整の連絡がりあります。
 「代表者のインタビュー(30分程度)」「個人情報保護管理者へのヒアリング(数時間)」
 「職場内の運用状況の確認」が順次行われますので、自社のメンバーのスケジュールを確認し調整
 「します。
 現地審査にはコンサルタントは立ち会うことはできません。
 虚偽の回答をした場合には、最悪の場合には審査打ち切りになりますので、ご注意ください。
 現地審査にて指摘された事項への早急な対応が、認定までの期間を短縮することにつながります。
 現地調査は一回きりですので指摘事項への対応は文書で報告します。
 文書での説明が難しい場合には、写真撮影を行い、改善点として提出した例もあります。
ページトップへ
STEP9 認定 
*文書審査結果への対応
 全ての指摘事項に対応したことが確認されると、審査員は定期的に開催される「審査会」に書類を提出
 します。
 審査会の結果、自社がJIS Q 15001:2006に適合していることが確認されれば、プライバシーマーク取得
 事業者として認定されます。
ページトップへ
お問合わせへ
Copyright (C) 株式会社ランド All Rights Reserved.