YPM-P010ＰＭＳマニュアル【表題】

Transcription

1 配布 複製 P M S マニュアル 第 2.5 版 文書番号 発行日 2017 年 2 月 28 日 適用開始日 2017 年 2 月 28 日 適用範囲公開制限 社内社内 関連部門及び関連会社 発行元 株式会社横浜電算 適用規格 JIS Q 15001:2006 本書を教育目的または参考資料として配布する場合は管理外文書とし 表紙に管理外文書であることが明確に分かるよう識別を付加すること 承認者 2017/02/28 土屋文秀 作成者 2017/02/28 松本英樹 All Rights Reserved, Copyright 株式会社横浜電算

2 PMS マニュアル の発行情報 改定履歴 発行版数 発行日 変更理由 内容 第 1.0 版 2010 年 10 月 1 日 初版 第 1.1 版 2010 年 12 月 20 日 Pマーク認定機関文書審査指摘事項対応 第 1.2 版 2011 年 3 月 17 日 Pマーク認定取得版発行 第 1.3 版 2011 年 8 月 25 日 法人名称変更 第 1.4 版 2012 年 2 月 23 日 組織概念図訂正 第 1.5 版 2012 年 11 月 22 日 組織概念図訂正 記載誤り訂正 第 1.6 版 2013 年 2 月 21 日 法的要求事項訂正項番 19,20,21,30 第 1.7 版 2013 年 9 月 17 日 法的要求事項追加項番 3(ISMS 対応 ) 第 1.8 版 2014 年 5 月 22 日 法的要求事項項番 35 改定日法的要求事項公布 施行 改正欄 URL 全面変更 第 1.9 版 2015 年 2 月 16 日 Pマーク認定機関文書審査指摘事項対応 第 2.0 版 2015 年 5 月 28 日 組織変更に伴う付録 A 更新 法的要求事項 URL 更新 法的要求事項更新項番 3(ISO/IEC 27001:2013 更新 ) 第 2.1 版 2015 年 8 月 31 日 法的要求事項追加項番 4( 番号法追加 ) 第 2.2 版 2015 年 11 月 26 日 JIS Q 15001と部署 ( 機能 ) とのマトリックス ( 付録 A) 更新 JIS Q 15001と部署 ( 機能 ) とのマトリックス ( 付録 A) 更新 第 2.3 版 2016 年 5 月 24 日 法的要求事項交付 施行 改正欄 改定日 URL( 付録 B) 更新 組織概念図 ( 付録 C) 更新 ) 第 2.4 版 2016 年 11 月 11 日 行政手続における特定の個人を識別するための番号の利用等に関する法律 への対応 2016 年内部監査指摘対応 : 記述間違い訂正 第 2.5 版 2017 年 2 月 28 日外部監査指摘 特定個人情報に関して追記

3 目次 < 個人情報保護マネジメントシステムの概念 > 1 1. 目的 適用範囲 6 2. 引用規格 ガイドライン 7 3. 用語及び定義 8 4.PMS 一般要求事項 PMSの確立及び運営管理 PMSの確立 PMSの導入及び運用 PMSの点検 PMSの見直し 罰則 31 解説 32 以 上

4 PMS マニュアル 個人情報保護マネジメントシステムの概念 プロセスアプローチ当社における個人情報保護マネジメントシステム ( 以下 PMSとする ) は PDCAモデルに基づいたプロセスアプローチ ( 図 1 参照 ) を採用して構築する 当社のPMSが プロセスアプローチを採用することにより 確立 導入 運用 監視 維持され 且つその有効性について改善されることを目的とする インプ ット プロセス アウト プット 図 1: プロセスアプローチ ( 重要事項及び用語について解説したものである ) プロセスとは インプットをアウトプットに変換するために 経営資源を使用して運営管理される活動 を指す アプローチとは 組織内に存在するプロセスを明確にし それらの相互関係を把握し これら一連のプロセスをシステムとして適用して 運営管理する考え方 を指す プロセスアプローチとは 組織内においてプロセスを明確にし その相互関係を把握し 運営管理することとあわせて 一連のプロセスをシステムとして適用すること を指す プロセスアプローチによって その利用者は下記に示す事項の重要性を明確に認識することができる 1 事業上のPMS 要求事項を理解し 個人情報保護方針 特定個人情報保護方針及び個人情報 特定個人情報を保護するための内部規程を確立する必要性を理解する 2 当社における個人情報の取扱いについて 適切な管理策を導入し 運用する 3PMSの実施状況及び有効性を点検する 4 監査結果及びその他の経営環境に基づいてPMSを見直しする 1/33

5 PMSマニュアル PDCAモデル当社では PMSにおける管理手法として採用したプロセスアプローチを実現するための考え方として PDCAモデルを適用する PDCAモデルを適用することにより PMSのプロセスが整理され 継続的な学習と改善の機会を当社の個人情報保護管理体制に提供することができる Plan- 計画 (PMS の確立 ) 当社の個人情報保護方針に沿った結果を出すための 管理策 プロセス及び手順を含めた PMS を確立する Do- 実施 (PMS の導入及び運用 ) その個人情報保護方針 管理策 プロセス及び手順を導入し運用する Check- 点検 (PMS の点検 ) 個人情報保護方針及び実際の経験に照らしてプロセスの実施状況を評価し その結果を見 直しのために経営陣に報告する Act- 処置 (PMS の見直し ) PMS の継続的な改善を達成するために マネジメントレビューを実施し その結果に基づ いて是正処置及び予防処置を講じる PMSプロセスとは 利害関係者の要求事項及び期待をインプットに これらの要求事項及び期待を満たすセキュリティの結果 ( 運用管理されたセキュリティ ) をアウトプットとして導くために必要な活動及びプロセス を指す 利害関係者とは 組織のパフォーマンス及び成功に利害関係を持つ人またはグループ を指す 利害関係者の要求事項とは 例えば 利害関係者とのSLA 法的要求事項 PMSの要求事項等 を指す 2/33

6 PMSマニュアル PMSプロセスに適用されるPDCAモデル利害関係者の要求事項及び期待をインプットとし 必要な活動及びプロセスを経て これらの要求事項及び期待を満たすセキュリティの成果 ( すなわち運営管理されたセキュリティ ) を生み出すことを表したものが図 2である Plan( 計画 ) PMS の確立 利害関係者 利害関係者 要求事項 及び期待 Do( 実施 ) PMS の導入 及び運用 維持 改善及び改善サイクル Act( 改善 ) PMS の見直し 運営管理 された セキュリティ PMS の点検 Check( 点検 ) 図 2:PMS プロセスに適用される PDCA モデル この図はあくまで一般モデルで 当社におけるPMSの維持 / 改善活動の体系を具体化したものではない 当社のPMSにおける維持 / 改善活動の体系 ( 詳細なレベル ) については 図 3:PMSプロセス全体図 にて示す 3/33

7 PMS マニュアル PMS プロセス全体図 Plan Act Check 個人情報保護 方針の設定 有効性改善 点検 PMS 構築 利害関係者 個人情報の特定 ~ リスク等の認識 分析及び対策対応計画策定 実施 是正 予防 マネジメントレビュー 内部監査 利害関係者 Do PMS の運用 業務活動 ( サービス提供 ) 図 3:PMS プロセス全体図 (1)Plan 1 個人情報保護方針 特定個人情報保護方針の設定 個人情報保護方針個人情報保護リスク管理手順 当社における個人情報保護方針を設定する 詳細については 個人情報保護方針 (YPM-P001) 特定個人情報保護方針 (YPM-P002) に別途定めるものとする 2 個人情報の特定 ~リスク等の認識 分析及び対策当社が保有するすべての個人情報を特定するための手順を確立し 維持するとともに特定した個人情報 特定個人情報に関するリスク等を認識 / 分析し 必要な対策を講じる手順を確立 / 維持するものとする 詳細については 個人情報保護リスク管理手順 (YPM-P500) に別途定めるものとする 4/33

8 PMS マニュアル (2)Do 1 対応計画策定 実施 個人情報保護リスク管理手順個人情報の取得に関する手順 個人情報の利用及び提供に関する手順個人情報の開示等に関する手順個人情報の委託に関する手順個人情報保護安全対策管理手順 上記 (1)2にて認識したリスクに対して 対応する適切な管理策を策定し 実施する 詳細については 個人情報保護リスク管理手順 (YPM-P500) に別途定めるものとする 2PMSの運用日常業務において 当社のPMSに則った運用を確実に実施する 詳細については 個人情報の取得に関する手順 (YPM-P200) 個人情報の利用及び提供に関する手順 (YPM-P210) 個人情報の開示等に関する手順 (YPM-P220) 個人情報の委託に関する手順 (YPM-P230) 個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする (3)Check 個人情報保護監査手順 個人情報保護安全対策管理手順 1 内部監査当社はPMSの JIS Q 15001:2006 への適合状況及び運用状況について 定期的に内部監査を実施する 詳細については 個人情報保護監査手順 (YPM-P400) に別途定めるものとする 2 点検当社のPMSが適切に運用されているか定期的 ( 毎日 ) に点検を実施する 詳細については 個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする (4)Act 1 マネジメントレビュー 個人情報保護組織手順 個人情報保護是正 予防処置手順 セキュリティ委員会にてマネジメントレビューを実施する 詳細については 個人情報保護組織管理手順 (YPM-P100) に別途定めるものとする 2 是正 予防点検の結果 緊急事態の発生及び外部機関の指摘 苦情等による不適合の再発防止のために 是正処置及び予防処置を実施する 詳細については 個人情報保護是正 予 5/33

9 PMSマニュアル防処置手順 (YPM-P700) に別途定めるものとする 3 有効性改善マネジメントレビューを通じて 当社のPMSの有効性について継続的に改善する 1. 目的 適用範囲 1.1 目的本書は 当社のPMSに関連する全てのプロセスが 個人情報保護マネジメントシステム- 要求事項 の規約に適用していることを明確にするために 規定するものである また 本書は下記に示す事項について当社の取組みを示すものである (1) 当社の個人情報を保護するために 十分でバランスのとれた適切なセキュリティ管理策を確保している能力があることを実証する (2)PMSの継続的改善を含む システムの効果的な適用により顧客及び他の利害関係者に対する信頼性の向上を目指す 1.2 適用範囲当社における全部門の役員 正社員 派遣社員 契約社員 パートタイマーを含む全従業員に適用する 上記適用範囲は 当社が事業の用に供しているすべての個人情報を対象とし 個人の住所録等個人が自己のために個人情報を取り扱っている場合は対象としない 事業の用に供しているとは一定の目的をもって反復継続して遂行される同種の行為であって かつ 一般社会通念上事業と認められるものをいい 利事業だけを対象とするものではない 従業者の個人情報は 事業の用に供している個人情報である なお 倉庫業 データセンター ( ハウジング ホスティング ) 等の事業において 当該個人情報が個人情報に該当するかどうか認識することなく預かっている場合は その情報の中に含まれる個人情報については 事業の用に供していないといえる 6/33

10 PMS マニュアル 2. 引用規格 / ガイドライン 本書は 下記の規格 / ガイドラインを引用規格として適用 ( 最新版のみ ) する 個人情報の保護に関する法律 ( 以下 個人情報保護法とする ) JIS Q 15001:2006 個人情報保護マネジメントシステム- 要求事項 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン 雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針 JIS Q 15001:2006 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 情報サービス産業個人情報保護ガイドライン 行政手続における特定の個人を識別するための番号の利用等に関する法律 特定個人情報の適正な取扱いに関するガイドライン( 事業者編 ) ( 個人情報保護委員会発行 ) 特定個人情報の適正な取扱いに関するガイドライン( 行政機関等 地方公共団体等編 ) ( 個人情報保護委員会発行 ) 特定個人情報の取扱いの対応について ( 一般財団法人日本情報経済社会推進協会 (JIPDEC) 発行 ) 7/33

11 PMS マニュアル 3. 用語及び定義 本書の目的のために 下記の用語及び定義を適用する その他 別段の定めがある場合を除 き 個人情報保護法の第 2 条に定義があるものについては それを準用する 個人情報生存する個人に関する情報であって 当該情報に含まれる氏名 生年月日その他の記述などによって特定の個人を識別できるもの ( 他の情報と容易に照合することができ それによって特定の個人を識別することができることとなるものを含む ) をいう 番号法第 2 条第 3 項 個人情報保護法第 2 条第 1 項 (JIS Q15001:2006 を参照 ) 個人情報には 死者の情報も含まれるが 歴史上の人物まで対象とするものではない 本人 個人情報によって識別される特定の個人 (JIS Q15001:2006 を参照 ) 事業者 : 事業を営む法人その他団体又は個人 (JIS Q15001:2006 を参照 ) 個人情報保護管理者代表者によって事業者の内部の者から指名された者であって 個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限をもつ者 (JIS Q15001:2006 を参照 ) 特定個人情報保護管理者 当社では 個人情報保護管理者が兼務する 個人情報保護監査責任者 代表者によって事業者の内部の者から指名された者であって 公平 かつ 客観的な立場にあ り 監査の実施及び報告を行う責任及び権限をもつ者 (JIS Q15001:2006 を参照 ) 8/33

12 PMSマニュアル 本人の同意本人が 個人情報の取扱いに関する情報を与えられた上で 自己に関する個人情報の取扱いについて承諾する意思表示 本人が子供又は事理を弁識する能力を欠く者の場合は 法定代理人等の同意も得なければならない (JIS Q15001:2006 を参照 ) 同意とは本人の署名 同意欄へのチェック ウェブサイト上での同意ボタンの押下等の明示的な方法によって本人の意思が表示されていることが原則である 子供とはここでいう子供とは 一般的に 12 歳 ~15 歳迄の年齢以下が対象となる 事理を弁指揮する能力を欠く者とは 判断力に懸念があると考えられる成人( 成年被後見人 被保佐人 被補助人等 ) を指す 個人情報保護マネジメントシステム (PMS) 事業者が 自らの事業の用に供する個人情報について その有用性に配慮しつつ 個人の権利利益を保護するための方針 体制 計画 実施 点検及び見直しを含むマネジメントシステム (JIS Q15001:2006 を参照 ) 不適合 JIS Q15001:2006 の要求事項及び本マニュアルの要求事項を満たさない場合 (JIS Q15001:2006 を参照 ) 個人情報保護教育責任者代表者又は個人情報保護管理者によって事業者の内部の者から指名された者であって 個人情報保護管理者を補佐して 従業者及び取り扱い委託先の教育の実施並びに報告を行う責任及び権限を有する者をいう ( 情報サービス産業個人情報保護ガイドラインを参照 ) 9/33

13 PMS マニュアル 当社 : 株式会社横浜電算の全部門を指す 全従業員 当社における全部門の役員 正社員 派遣社員 契約社員 パートタイマーを含む全ての従業 員を指す 個人番号 番号法第 7 条第 1 項又は第 2 項の規定により 住民票コードを変換して得られる番号であって 該当住民票コードが記載された住民票に係る者を識別するために指定されるものをいう 特定個人情報 個人番号をその内容に含む個人情報をいう 特定個人情報ファイル 個人番号をその内容に含む個人情報ファイルをいう 個人番号利用事務行政機関 地方公共団体 独立行政法人等その他の行政事務を処理する者が 番号法第 9 条 ( 利用範囲 ) 第 1 条又は第 2 項の規定により その保有する特定個人情報ファイルにおいて個人情報を効率的に検索し 及び管理するために必要な限度で個人番号を利用して処理する事務をいう 個人情報関係事務 番号法第 9 条 ( 利用範囲 ) 第 3 項の規定により 個人番号利用事務に関して行われる他人の 個人番号を必要な限度で利用して行う事務をいう 個人番号利用事務実施者 個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をい う 個人番号関係事務実施者 個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をい う 10/33

14 PMS マニュアル 4. 個人情報保護マネジメントシステム (PMS) 4.1 一般要求事項 当社は 個人情報保護マネジメントシステムを確立し 実行し 維持し かつ 改善している その要求事項については 本書にて規定するものとする 4.2 PMS の確立及び運営管理 当社は 図 2 に示す PDCA モデルを採用して PMS を構築し この PMS の要求事項に従っ て運営管理を行う ( 表 1 参照 ) 活動 Plan- 計画 (PMSの確立) Do- 実施 (PMSの導入及び運用) Check- 点検 (PMSの点検) Act- 処置 (PMSの見直し) 個人情報保護マネシ メントシステム- 要求事項 の条項 3.2 及び ~ 及び 3.9 本書の項番 表 1:PDCA モデルの各ステップと条項の対応 4.3 PMSの確立当社は 表 1よりPMSを確立するにあたり 図 4に示す9つのフェーズを実施する 4.3 項における参照文書一覧 個人情報保護方針 特定個人情報保護方針 特定個人情報等取扱規程 個人情報の利用及び提供に関する手順 個人情報保護リスク管理手順 個人情報の開示等に関する手順 個人情報保護組織管理手順 個人情報保護是正 予防処置手順 個人情報保護安全対策管理手順 個人情報保護文書管理手順 個人情報の取得に関する手順 個人情報保護記録管理手順 就業規則 11/33

15 4.3.1 PMS 適用範囲の決定 当社における PMS の適用範囲は 1.2 項 適用範囲 に定めるものとする PMS マニュアル 個人情報保護方針の策定社長は 個人情報保護の理念を明確にしたうえで 下記の事項を含む個人情報保護方針 特定個人情報保護方針を定めるとともに これを実行し維持するものとする また この方針を文書化し 全従業員に周知 ( 社内 HPへ公開 ) するとともに一般の人が入手可能な措置 ( 社外 HPへ公開 ) を講じるものとする 詳細については 個人情報保護方針 (YPM-P001) 特定個人情報保護方針 (YPM-P002) に別途定めるものとする (1) 事業の内容及び規模を考慮した適切な個人情報の取得 利用及び提供に関すること 特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い ( 以下 目的外利用とする ) を行わないこと及びそのための措置を講じることを含む (2) 個人情報の取扱いに関する法令 国が定める指針その他の規範を遵守すること (3) 個人情報の漏えい 滅失又はき損の防止及び是正に関すること (4) 苦情及び相談への対応に関すること (5)PMSの継続的改善に関すること (6) 代表者の氏名 12/33

16 PMS マニュアル 代表者とは 代表権をもつ者 を指す 個人情報保護方針とは 個人情報保護に関する取組みを内外に宣言する公式文書 を指す 個人情報保護の理念及び経営責任等を明確にするため 取締役会の決議を経る等一定の手続を経て定める必要がある 特定個人情報保護方針とは 特定個人情報保護に関する取組みを内外に宣言する公式文書 を指す 個人番号及び特定個人情報 ( 特定個人情報等 ) の適正な取扱いの確保について 組織として取り組むため 本基本方針を定める 個人情報保護の理念とは 事業者が個人情報保護に取り組む姿勢や基本的考え方 を指す 国が定める指針とは 個人情報保護法に基づいて各所管省庁が作成したガイドライン 指針等 を指す 個人情報の特定当社は 自らの事業の用に供するすべての個人情報及び特定個人情報を特定するための手順を確立し かつ 維持するものとする 詳細については 個人情報の取得に関する手順 (YPM-P200) に別途定めるものとする 法令 国が定める指針その他の規範の特定当社は 下記の事項より個人情報の取扱いに関する法令 国が定める指針その他の規範を特定 / 参照できる手順を確立し 維持するものとする (1) 特定手順セキュリティ委員会にて 個人情報の取扱いに関する法令 国が定める指針その他の規範における情報収集 / 検討を行い 特定するものとする なお 情報収集先としては 解説 3 主な情報収集機構 に記載されている各機構を原則とする (2) 参照手順セキュリティ委員会は 特定された個人情報の取扱いに関する法令 国が定める指針その他の規範を 法的要求事項確認書 ( 付録 B) として取り纏めるとともに URL を記載し 参照可能とする 13/33

17 PMSマニュアル (3) 維持手順セキュリティ委員会は 法的要求事項確認書 ( 付録 B) を常に最新の状態として維持するためにその都度見直しを実施するとともに 定期的な見直しを毎年 4 月に実施する 見直した結果 変更等があった場合には すみやかに対応 / 必要に応じてPMSへ反映させるものとする なお 情報収集先としては 上記 (1) 特定手順と同様とする リスクなどの認識 分析及び対策当社は 特定した個人情報及び特定個人情報について 目的外利用を行わないため 必要な対策を講じる手順を確立し 維持するものとする また 個人情報及び特定個人情報を取り扱う各局面 ( ライフサイクル ) におけるリスク ( 個人情報の漏えい 滅失又はき損 関連する法令 国が定める指針その他の規範に対する違反 想定される経済的な不利益及び社会的な信用の失墜 本人への影響等のおそれ ) を認識 / 分析するとともに 必要な対策を講じる手順を確立し 維持するものとする 詳細については 個人情報保護リスク管理手順 (YPM-P500) に別途定めるものとする リスクを認識するとは 特定した個人情報及び特定個人情報の取得 入力 移送 送信 利用 加工 保管 バックアップ 消去 廃棄に至る個人情報の取扱いの一連の流れの各局面において 適正な保護措置を講じない場合に想定されるリスクを洗い出すこと を指す リスクを分析するとは 洗い出したリスクを定性的な評価等によって評価すること を指す 資源 役割 責任及び権限の明確化社長は PMSを確立し 実施し 維持し かつ 改善するために不可欠な資源を用意するとともに PMSを効果的に実施するための役割 責任及び権限を定め 文書化し 全従業員へ周知するものとする また 個人情報保護管理者を当社の内部の者から指名し PMSの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え 業務を行わせるものとする 指名された個人情報保護管理者は PMSの見直し及び改善の基礎として 社長へPMSの運用状況を 14/33

18 PMS マニュアル 報告するものとする 詳細については 個人情報保護組織管理手順 (YPM-P100) に別途定める ものとする 内部規程の策定当社は 下記の事項を含む内部規程を文書化し 維持するとともに 事業の内容に応じてPM Sが確実に適用されるよう内部規程を改定する (1) 個人情報を特定する手順に関する規定 詳細については 個人情報保護リスク管理手順 (YPM-P500) に別途定めるものとする (2) 法令 国が定める指針その他の規範の特定 参照及び維持に関する規定 詳細については 本書 PMSマニュアル ()( に別途定めるものとする (3) 個人情報に関するリスクの認識 分析及び対策の手順に関する規定 詳細については 個人情報保護リスク管理手順 (YPM-P500) に別途定めるものとする (4) 当社の各部門及び階層における個人情報を保護するための権限及び責任に関する規定 詳細については 個人情報保護組織管理手順 (YPM-P100) に別途定めるものとする (5) 緊急事態 ( 個人情報が漏えい 滅失又はき損をした場合 ) への準備及び対応に関する規定 詳細は 個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする (6) 個人情報の取得 利用及び提供に関する規定 詳細については 個人情報の取得に関する手順 (YPM-P200) 及び 個人情報の利用及び提供に関する手順 (YPM-P210) に別途定める (7) 個人情報の適正管理に関する規定 詳細については 個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする (8) 本人からの開示等の求めへの対応に関する規定 詳細については 個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする (9) 教育に関する規定 詳細については 個人情報保護教育手順 (YPM-P300) に別途定めるものとする (10)PMS 文書の管理に関する規定 詳細については 個人情報保護文書管理手順 (YPM-P800) 及び 個人情報保護記録管理手順 (YPM-P850) に別途定めるものとする (11) 苦情及び相談への対応に関する規定 詳細については 個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする 15/33

19 PMSマニュアル (12) 点検に関する規定 詳細については 個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする (13) 監査に関する規程 詳細については 個人情報保護監査手順 (YPM-P400) に別途定めるものとする (14) 是正処置及び予防処置に関する規定 詳細については 個人情報保護是正 予防処置手順 (YPM-P700) に別途定めるものとする (15) 社長による見直しに関する規定 詳細については 個人情報保護組織管理手順 (YPM-P100) に別途定めるものとする (16) 内部規程の違反に関する罰則を規定 詳細については 就業規則 に別途定めるものとする 教育及び監査等の計画の策定当社は PMSを確実に実施するために必要な教育 監査等の計画を年 1 回以上立案し 文書化し かつ 維持するものとする 詳細については 個人情報保護教育手順 (YPM-P300) 及び 個人情報保護監査手順 (YPM-P400) に別途定めるものとする 緊急事態への準備当社は 緊急事態を特定するための手順 また それらにどのように対応するかの手順を確立し 実施し かつ 維持するとともに 個人情報が漏えい 滅失又はき損をした場合に想定される経済的な不利益及び社会的な信用の失墜 本人への影響等のおそれを考慮し その影響を最小限とするための手順を確立し かつ 維持するものとする また 個人情報の漏えい 滅失又はき損が発生した場合に備え 下記の事項を含む対応手順を確立し かつ 維持するものとする 詳細については 個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする (1) 当該漏えい 滅失又はき損が発生した個人情報の内容を本人に速やかに通知し 又は本人が容易に知り得る状態に置くこと (2) 二次被害の防止 類似事案の発生回避等の観点から 可能な限り事実関係 発生原因及び対応策を 遅滞なく公表すること (3) 事実関係 発生原因及び対応策を関係機関に直ちに報告すること (4) 顧客から取り扱いの委託を受けた個人情報の漏えい 滅失又はき損に関して 直ちに委託元に報告すること 16/33

20 PMS マニュアル 9 つのフェーズを実施 Plan- 計画 (PMS の確立 ) PMS 適用範囲の決定 個人情報保護方針の策定 Do- 実施 (PMS の導入 および運用 ) 個人情報の特定 法令 国が定める指針その他の規範の特定 リスクなどの認識 分析及び対策 Check- 点検 (PMS の点検 ) 資源 役割 責任及び権限の明確化 内部規程の策定 Act- 処置 (PMS の見直し ) 教育及び監査等の計画の策定 緊急事態への準備 図 4:PMS の確立の手順 4.4 PMSの導入及び運用当社は 表 1よりPMSを導入及び運用するにあたり 図 5に示す 7 つのフェーズを実施する 4.4 項における参照文書一覧 個人情報の取得に関する手順 個人情報の利用及び提供に関する手順 個人情報保護安全対策管理手順 個人情報の委託に関する手順 個人情報の開示等に関する手順 個人情報保護教育手順 個人情報保護文書管理手順 個人情報保護記録管理手順 17/33

21 PMS マニュアル 運用手順の明確化 当社は PMS を確実に実施するために 運用の手順を明確にするものとする 取得 利用及び提供に関する原則 利用目的の特定当社は 個人情報を取得するにあたっては その利用目的をできる限り特定し その目的の達成に必要な限度において行うものとする 詳細については 個人情報の取得に関する手順 (YPM-P200) に別途定めるものとする 適正な取得 当社は 適法かつ公正な手段によって個人情報を取得するものとする 特定の機微な個人情報の取得 利用及び提供の制限当社は 下記に示す内容を含む個人情報の取得 利用又は提供は禁止とする ただし これらの取得 利用又は提供について 明示的な本人の同意がある場合及び の (1)~(4) のいずれかに該当する場合は除くものとする (1) 思想 信条又は宗教に関する事項 (2) 人種 民族 門地 本籍地 ( 所在都道府県に関する情報を除く ) 身体 精神障害 犯罪歴 その他社会的差別の原因となる事項 (3) 勤労者の団結権 団体交渉その他団体行動の行為に関する事項 (4) 集団示威行為への参加 請願権の行使その他の政治的権利の行使に関する事項 (5) 保険医療又は性生活に関する事項なお ただし書きを適用する場合には 事前に運用 管理担当へ承認を得ることとする また 本人から同意を得て特定の機微な個人情報を取得 利用又は提供する場合は 書面にて本人の同意を得るものとする 本人から直接書面によって取得する場合の措置当社は 本人から書面 ( 電子的方式 磁気的方式等人の知覚によっては認識できない方式で作られる記録を含む 以下 同じ ) に記載された個人情報を直接に取得する場合には 少なくとも下記の事項又はそれと同等以上の内容の事項を あらかじめ書面によって本人に明示し 本人の同意を得るものとする ただし 人の生命 身体又は財産の保護のために緊急に必要がある場合 の (1)~(4) のいずれかに該当する場合 及び の (1)~(4) のいずれかに該当する 18/33

22 PMSマニュアル場合は除くものとする 詳細は 個人情報の取得に関する手順 (YPM-P200) に別途定めるものとする (1) 当社名又は名称 (2) 個人情報保護管理者 ( 若しくはその代理人 ) の氏名又は職名 所属及び連絡先 (3) 利用目的 (4) 個人情報を第三者に提供することが予定される場合の事項 1 第三者に提供する目的 2 提供する個人情報の項目 3 提供の手段又は方法 4 当該情報の提供を受ける者又は提供を受ける者の組織の種類 及び属性 5 個人情報の取扱いに関する契約がある場合はその旨 (5) 個人情報の取扱いの委託を行うことが予定される場合には その旨 (6) ~ に該当する場合には その求めに応じる旨及び問合せ窓口 (7) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果 (8) 本人が容易に認識できない方法によって個人情報を取得する場合には その旨なお ただし書きを適用する場合には 所定の書式にて適用するただし書きの項番及び適用する理由を記載 / 事前に運用 管理担当へ承認を得ることとする 個人情報を 以外の方法によって取得した場合の措置当社は 個人情報を 以外の方法によって取得した場合は あらかじめその利用目的を公表している場合を除き 速やかにその利用目的を本人に通知し 又は公表するものとする ただし 下記の事項のいずれかに該当する場合は除くものとする 詳細については 個人情報の取得に関する手順 (YPM-P200) に別途定めるものとする (1) 利用目的を本人に通知し 又は公表することによって本人又は第三者の生命 身体 財産その他の権利利益を害するおそれがある場合 (2) 利用目的を本人に通知し 又は公表することによって当該事業者の権利又は正当な利益を害するおそれがある場合 (3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって 利用目的を本人に通知し 又は公表することによって当該事務の遂行に支障を及ぼすおそれがあるとき (4) 取得の状況からみて利用目的が明らかであると認められる場合なお ただし書きを適用する場合には 所定の書式にて適用するただし書きの項番及び適用す 19/33

23 PMS マニュアル る理由を記載 / 事前に運用 管理担当へ承認を得ることとする 利用に関する措置当社は 特定した利用目的の達成に必要な範囲内で個人情報を利用するものとする 特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は 事前に運用 管理担当へ承認を得るとともに あらかじめ少なくとも の (1)~(6) に示す事項又はそれと同等以上の内容の事項を本人に通知し 本人の同意を得るものとする ただし 下記事項のいずれかに該当する場合は除くものとする 詳細については 個人情報の利用及び提供に関する手順 (YPM-P210) に別途定めるものとする (1) 法令に基づく場合 (2) 人の生命 身体又は財産の保護のために必要がある場合であって 本人の同意を得ることが困難であるとき (3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって本人の同意を得ることが困難であるとき (4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって 本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるときなお ただし書きを適用する場合には 事前に運用 管理担当へ承認を得ることとする 本人にアクセスする場合の措置当社は 個人情報を利用して本人にアクセスする場合には 運用 管理担当の承認を得るものとする また 本人に対して の (1)~(6) に示す事項又はそれと同等以上の内容の事項 及び取得方法を通知し 本人の同意を得るものとする ただし 下記事項のいずれかに該当する場合は除くものとする 詳細については 個人情報の利用及び提供に関する手順 (YPM-P210) に別途定めるものとする (1) の (1)~(6) に示す事項又はそれと同等以上の内容の事項を明示または通知し 既に本人の同意を得ているとき (2) 個人情報の取扱いの全部又は一部を委託された場合であって 当該個人情報をその利用目的の達成に必要な範囲内で取り扱うとき (3) 合併その他の事由による事業の承継に伴って個人情報が提供され 個人情報を提供する事業者が既に の (1)~(6) に示す事項又はそれと同等以上の内容の事項を明示又は通知し 本人の同意を得ている場合であって 承継前の利用目的の範囲内で当該個人情報を取り扱うとき 20/33

24 PMSマニュアル (4) 個人情報が特定の者との間で共同利用され 共同利用者が既に の (1)~(6) に示す事項又はそれと同等以上の内容の事項を明示又は通知し 本人の同意を得ている場合であって 下記事項又はそれと同等以上の内容の事項を あらかじめ本人に通知し 又は本人が容易に知り得る状態に置いているとき 1 共同して利用すること 2 共同して利用される個人情報の項目 3 共同して利用する者の範囲 4 共同して利用する者の利用目的 5 共同して利用する個人情報の管理について 責任を有する者の氏名又は名称 6 取得方法 (5) の (4) に該当するため 利用目的等を本人に明示 通知又は公表することなく取得した個人情報を利用して 本人にアクセスするとき (6) の (1)~(4) のいずれかに該当する場合なお ただし書き (1)~(6) を適用する場合には 事前に運用 管理担当へ承認を得ることとする ただし書き (2) を適用する場合には 委託元が個人情報保護法及びガイドライン等に沿って適切に個人情報を取り扱っているか確認するものとする ただし書き (4) を適用する場合には 本人が容易に知り得る状態として当社 HPへ掲載するものとする 提供に関する措置当社は 個人情報を第三者に提供する場合には 運用 管理担当の承認を得るものとする また あらかじめ本人に対して取得方法及び の (1)~(4) の事項又はそれと同等以上の内容の事項を通知し 本人の同意を得るものとする ただし 下記事項のいずれかに該当する場合は除くものとする 詳細については 個人情報の利用及び提供に関する手順 (YPM-P210) に別途定めるものとする (1) 又は の規定によって 既に の (1)~(4) の事項又はそれと同等以上の内容の事項を本人に明示又は通知し 本人の同意を得ているとき (2) 大量の個人情報を広く一般に提供するため 本人の同意を得ることが困難な場合であって 下記事項又はそれと同等以上の内容の事項を あらかじめ本人に通知し 又はそれに代わる同等の措置を講じているとき 1 第三者への提供を利用目的とすること 2 第三者に提供される個人情報の項目 3 第三者への提供の手段又は方法 21/33

25 PMSマニュアル 4 本人の求めに応じて本人が識別される個人情報の第三者への提供を停止すること 5 取得方法 (3) 法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であって かつ 法令に基づき又は本人若しくは当該法人その他の団体自らによって公開又は公表された情報を提供する場合であって 前項 (2) で示す事項又はそれと同等以上の内容の事項を あらかじめ本人に通知し 又は本人が容易に知り得る状態に置いているとき (4) 特定した利用目的の達成に必要な範囲内において 個人情報の取扱いの全部又は一部を委託するとき (5) 合併その他の事由による事業の承継に伴って個人情報を提供する場合であって 承継前の利用目的の範囲内で当該個人情報を取り扱うとき (6) 個人情報を特定の者との間で共同して利用する場合であって 下記事項又はそれと同等以上の内容の事項を あらかじめ本人に通知し 又は本人が容易に知り得る状態に置いているとき 1 共同して利用すること 2 共同して利用される個人情報の項目 3 共同して利用する者の範囲 4 共同して利用する者の利用目的 5 共同して利用する個人情報の管理について 責任を有する者の氏名又は名称 6 取得方法 (7) の (1)~(4) のいずれかに該当する場合なお ただし書き (2)~(3) は適用しないものとする ただし書き (4)~(7) を適用する場合には 事前に運用 管理担当へ承認を得ることとする ただし書き (6) を適用する場合には 本人が容易に知り得る状態として当社 HPへ掲載するものとする 適正管理 正確性の確保当社は 利用目的の達成に必要な範囲内において 個人情報を正確 かつ 最新の状態で管理するものとする 詳細については 個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする 22/33

26 PMSマニュアル 安全管理措置当社は その取り扱う個人情報のリスクに応じて 漏えい 滅失又はき損の防止その他の個人情報の安全管理のために必要 かつ 適切な措置を講じるものとする 詳細については 個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする 従業者の監督当社は その従業者に個人情報を取り扱わせるにあたっては 当該個人情報の安全管理が図られるよう 当該従業者に対し必要 かつ 適切な監督を行うものとする 詳細については 個人情報の委託に関する手順 (YPM-P230) に別途定めるものとする 委託先の監督当社は 個人情報の取扱いの全部又は一部を委託する場合 十分な個人情報の保護水準を満たしている委託先を選定するために 委託先の選定基準を確立するものとする 委託先に対しては 委託する個人情報の安全管理が図られるよう必要 かつ 適切な監督を行うものとする また 契約によって下記事項を規定し 十分な個人情報の保護水準を担保するとともに 当該契約書等の書面を少なくとも個人情報の保有期間にわたって保存するものとする 詳細については 個人情報の委託に関する手順 (YPM-P230) に別途定めるものとする (1) 委託者及び受託者の責任の明確化 (2) 個人情報の安全管理に関する事項 (3) 再委託に関する事項 (4) 個人情報の取扱状況に関する委託者への報告の内容及び頻度 (5) 契約内容が遵守されていることを委託者が確認できる事項 (6) 契約内容が遵守されなかった場合の措置 (7) 事件 事故が発生した場合の報告 連絡に関する事項 個人情報に関する本人の権利 個人情報に関する権利当社は 電子計算機を用いて検索することができるように体系的に構成した情報の集合物又は一定の規則に従って整理 分類し 目次 索引 符号等を付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報であって 当社が 本人から求められる開示 内容の訂正 追加又は削除 利用の停止 消去及び第三者への提供の停止の求めのすべてに応じることができる権限を有するもの ( 以下 において 開示対象個人情報 とする ) に関して 本人から利用目的の通知 開示 内容の訂正 追加又は削除 利用 23/33

27 PMSマニュアルの停止 消去及び第三者への提供の停止 ( 以下 開示等 とする ) を求められた場合は ~ の規定によって遅滞なく応じるものとする ただし 下記事項に該当する場合は 開示対象個人情報ではないので除くものとする 詳細については 個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする (1) 当該個人情報の存否が明らかになることによって 本人又は第三者の生命 身体又は財産に危害が及ぶおそれのあるもの (2) 当該個人情報の存否が明らかになることによって 違法又は不当な行為を助長し 又は誘発するおそれのあるもの (3) 当該個人情報の存否が明らかになることによって 国の安全が害されるおそれ 他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの (4) 当該個人情報の存否が明らかになることによって 犯罪の予防 鎮圧又は捜査その他の公共の安全と秩序維持に支障が及ぶおそれのあるものなお ただし書きを適用する場合には 個人情報保護管理者の承認を得るものとする 開示等の求めに応じる手続当社は 開示等の求めに応じる手続として下記事項を定めるものとし 本人に対して過重な負担とならないよう配慮するものとする 詳細については 個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする (1) 開示等の求めの申し出先 (2) 開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式 (3) 開示等の求めをする者が 本人又は代理人であることの確認の方法 (4) 又は による場合の手数料 ( 定めた場合に限る ) の徴収方法 手数料を徴収する場合 実費を勘案して合理的な範囲内にてその額を定めること 開示対象個人情報に関する事項の周知など当社は 取得した個人情報が開示対象個人情報に該当する場合は 当該開示対象個人情報に関し 下記事項を本人の知り得る状態 ( 本人の求めに応じて遅滞なく回答する場合を含む ) に置くものとする 詳細については 個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする (1) 事業者の氏名又は名称 (2) 個人情報保護管理者 ( 若しくはその代理人 ) の氏名又は職名 所属及び連絡先 (3) 全ての開示対象個人情報の利用目的 の (1)~(3) 迄に該当する場合を除く 24/33

28 PMSマニュアル (4) 開示対象個人情報の取扱いに関する苦情の申し出先 (5) 認定個人情報保護団体の名称及び苦情の解決の申し出先 当社の認定個人情報保護団体は 一般財団法人日本情報経済社会推進協会 (JIPDEC) 殿 となる (6) によって定めた手続 開示対象個人情報の利用目的の通知当社は 本人から当該本人が識別される開示対象個人情報について 利用目的の通知を求められた場合には 遅滞なく応じるものとする ただし の (1)~(3) のいずれかに該当する場合 又は の (3) によって当該本人が識別される開示対象個人情報の利用目的が明らかな場合は利用目的の通知を必要としないが そのときは本人に遅滞なくその旨を通知するとともに理由を説明するものとする なお ただし書きを適用する場合には 個人情報保護管理者の承認を得るものとする 詳細については 個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする 開示対象個人情報の開示当社は 本人から当該本人が識別される開示対象個人情報の開示 ( 当該本人が識別される開示対象個人情報が存在しない時にその旨を知らせることを含む ) を求められた時は 法令の規定によって特別の手続が定められている場合を除き 本人に対し遅滞なく当該開示対象個人情報を書面 ( 開示の求めを行った者が同意した方法がある時は当該方法 ) によって 開示するものとする ただし 開示することによって下記事項のいずれかに該当する場合は その全部又は一部を開示する必要はないが 本人に遅滞なくその旨を通知するとともに理由を説明するものとする 詳細については 個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする (1) 本人又は第三者の生命 身体 財産その他の権利利益を害するおそれがある場合 (2) 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合 (3) 法令に違反することとなる場合なお ただし書きを適用する場合には 個人情報保護管理者の承認を得るものとする 開示対象個人情報の訂正 追加又は削除当社は 本人から当該本人が識別される開示対象個人情報の内容が事実でないという理由によって当該開示対象個人情報の訂正 追加又は削除 ( 以下 この項において 訂正等 とする ) を求められた場合 法令の規定により特別の手続が定められている場合を除き 利用目的の達成に必要な範囲内において遅滞なく必要な調査を行い その結果に基づいて当該開示対象個人情報の 25/33

29 PMSマニュアル訂正等を行うものとする また 訂正等を行った時は その旨及びその内容を本人に対し遅滞なく通知し 訂正等を行わない旨の決定をした時は その旨及びその理由を本人に対し遅滞なく通知するものとする 詳細については 個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする 開示対象個人情報の利用又は提供の拒否権当社は 本人から当該本人が識別される開示対象個人情報の利用の停止 消去又は第三者への提供の停止 ( 以下 この項において 利用停止等 とする ) を求められた場合は 応じるとともに措置を講じた後は 遅滞なくその旨を本人に通知するものとする ただし の (1)~(3) のいずれかに該当する場合は利用停止等を行う必要はないが そのときは本人に遅滞なくその旨を通知するとともに理由を説明するものとする なお ただし書きを適用する場合には 個人情報保護管理者の承認を得るものとする 詳細については 個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする 教育当社は 全従業員に対して年 1 回以上適切な教育を行うとともに 関連する各部門及び階層において下記事項を理解させる手順を確立し 維持するものとする また 教育の計画及び実施 結果の報告及びそのレビュー 計画の見直し並びにこれらに伴う記録の保持に関する責任及び権限を定める手順を確立し 実施し かつ 維持するものとする 詳細については 個人情報保護教育手順 (YPM-P300) に別途定めるものとする (1)PMSに適合することの重要性及び利点 (2)PMSに適合するための役割及び責任 (3)PMSに違反した際に予想される結果 PMS 文書 文書の範囲当社は PMSの基本となる下記事項を書面で記述するものとする (1) 個人情報保護方針 (2) 内部規程 (3) 計画書 (4)JIS Q 15001:2006 が要求する記録及び当社がPMSを実施する上で必要と判断した記録 26/33

30 PMSマニュアル 文書管理当社は JIS Q 15001:2006 が要求する全ての文書 ( 記録を除く ) を管理する手順を確立し 実施し かつ 維持するものとする 文書管理の手順には 下記事項を含むものとし 詳細については 個人情報保護文書管理手順 (YPM-P800) を別途定めるものとする (1) 文書の発行及び改訂に関すること (2) 文書の改訂の内容と版数との関連付けを明確にすること (3) 必要な文書が必要な時に容易に参照できること 記録の管理当社は PMS 及び JIS Q 15001:2006 の要求事項への適合を実証するために必要な下記の記録を作成し かつ 維持するものとする また 記録の管理についての手順を確立 実施し かつ 維持するものとする 詳細については 個人情報保護記録管理手順 (YPM-P800) を別途定めるものとする (1) 個人の特定に関する記録 (2) 法令 国が定める指針及びその他の規範の特定に関する記録 (3) 個人情報のリスクの認識 分析及び対策に関する記録 (4) 計画書 (5) 利用目的の特定に関する記録 (6) 開示対象個人情報に関する開示等 ( 利用目的の通知 開示 内容の訂正 追加又は削除 利用の停止又は消去 第三者提供の停止 ) の求めへの対応記録 (7) 教育実施記録 (8) 苦情及び相談への対応記録 (9) 運用の確認の記録 (10) 監査報告書 (11) 是正処置及び予防処置の記録 (12) 代表者による見直しの記録 苦情及び相談への対応当社は 個人情報の取扱い及びPMSに関して本人からの苦情及び相談を受け付けて 適切かつ迅速な対応を行う手順を確立し かつ維持するものとする また 上記の目的を達成するために必要な体制の整備を行うものとする 詳細については 個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする 27/33

31 PMS マニュアル Plan- 計画 (PMS の確立 ) 7 つのフェーズを実施 運用手順の明確化 取得 利用及び提供に関する原則 Do- 実施 (PMS の導入及び 運用 ) 適正管理 個人情報に関する本人の権利 Check- 点検 (PMS の点検 ) 教育 PMS 文書 Act- 処置 (PMS の見直し ) 苦情及び相談への対応 図 5:PMSの導入及び運用の手順 4.5 PMSの点検当社は 表 1よりPMSを点検するにあたり 図 6に示す2つのフェーズを実施する 4.5 項における参照文書一覧 個人情報保護安全対策管理手順 個人情報保護監査手順 運用の確認当社は PMSが適切に運用されていることが当社の各部門及び階層において定期的に確認されるための手順を確立し 実施し かつ 維持するものとする 詳細については 個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする 28/33

32 PMSマニュアル 監査当社は PMSの JIS Q 15001:2006 への適合状況及びPMSの運用状況を年 1 回以上監査するものとする 社長は 公平 かつ 客観的な立場にある個人情報保護監査責任者を当社の内部の者から指名し 監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与え 業務を行わせるものとする 個人情報保護監査責任者は 監査を指揮し 監査報告書を作成し 社長に報告するとともに 監査人の選定及び監査の実施においては 監査の客観性及び公平性を確保するものとする 当社は 監査の計画及び実施 結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順を確立し 実施し かつ 維持するものとする 詳細については 個人情報保護監査手順 (YPM-P400) に別途定めるものとする Plan- 計画 (PMS の確立 ) Do- 実施 (PMS の導入 および運用 ) Check- 点検 (PMS の点検 ) 運用の確認 2 つのフェーズを実施 監査 Act- 処置 (PMS の見直し ) 図 6:PMS の点検の手順 29/33

33 PMSマニュアル 4.6 PMSの見直し当社は 表 1よりPMSを見直しするにあたり 図 7に示す2つのフェーズを実施する 4.6 項における参照文書一覧 個人情報保護是正 予防処置手順 個人情報保護組織管理手順 是正処置及び予防処置当社は 不適合に対する是正処置及び予防処置を確実に実施するために 下記事項を含む責任及び権限を定めた手順を確立し 実施し かつ 維持するものとする 是正処置及び予防処置の対象とする不適合は 点検の結果 緊急事態の発生 外部機関の指摘 苦情等とする 詳細については 個人情報保護是正 予防処置手順 (YPM-P700) に別途定めるものとする (1) 不適合の内容を確認する (2) 不適合の原因を特定し 是正処置及び予防処置を立案する (3) 期限を定め 立案された処置を実施する (4) 実施された是正処置及び予防処置の結果を記録する (5) 実施された是正処置及び予防処置の有効性をレビューする 本レビューは 社長による見直しにて実施 社長による見直し社長は 個人情報の適切な保護を維持するために 下記事項を考慮し 定期的にPMSを見直すものとする この見直しは 年 1 回以上のマネジメントレビューの開催を基本とする ( 通常 5 月 ) 詳細については 個人情報保護組織管理手順 (YPM-P100) に別途定めるものとする (1) 監査及びPMSの運用状況に関する報告 (2) 苦情を含む外部からの意見 (3) 前回までの見直しの結果に対するフォローアップ (4) 個人情報の取扱いに関する法令 国の定める指針その他の規範の改正状況 (5) 社会情勢の変化 国民の認識の変化 技術の進歩等の諸環境の変化 (6) 当社の事業領域の変化 (7) 内外から寄せられた改善のための提案 30/33

34 PMS マニュアル 4.7 罰則 内部規定に違反した従業員に対して 就業規則に基づき懲戒を行う Plan- 計画 (PMS の確立 ) Do- 実施 (PMS の導入及び 運用 ) Check- 点検 (PMS の点検 ) 2 つのフェーズを実施 Act- 処置 (PMS の見直し ) 是正処置及び予防処置 社長による見直し 図 7:PMS の見直しの手順 31/33

35 PMS マニュアル 解説 < 解説目次 > 解説 1. 組織概念図 解説 2. 個人情報保護組織体制図 解説 3. 主な情報収集機構 付録 A. JIS Q と部署 ( 機能 ) とのマトリックス 付録 B. 法的要求事項確認書 付録 C. 組織概念図 32/33

36 PMS マニュアル 解説 1 組織概念図 当社の組織概念図は 組織概念図 ( 付録 C) に別途定めるものとする 解説 2 個人情報保護組織体制図 当社の個人情報保護組織体制図は 個人情報保護組織管理手順 に別途定めるものとする 解説 3 主な情報収集機構 経済産業省殿 厚生労働省殿 内閣官房情報セキュリティセンター殿 (NISC) 殿 一般財団法人日本情報経済社会推進協会殿 (JIPDEC) 一般社団法人情報サービス産業協会殿 (JISA) 独立行政法人情報処理推進機構殿 (IPA) JPCERT/CC 殿 個人情報保護委員会殿 33/33

37 PMSマニュアル の変更履歴前版からの変更点は 以下の通りである 版数 ( 新 ) 頁変更内容備考 , 個人情報の特定に 特定個人情報 を追記 リスクなどの認識 分析及び対策 特定個人情報 を追記 2.5 7,33 組織名称変更 特定個人情報保護委員会 個人情報保護委員会