管理区分 非管理版 制定年月日 2018.06.01 改訂年月日 改訂番号 1-0 購入希望の場合は https://www.iso-mi.com/ P マークの取得及び更新に必須となる基本文書 ( 上位文書 ) のサンプルです ページ最後の購入方法をご確認ください 修正可能なワードファイルで提供しています 編集可能! 個人情報保護 (P マーク ) マニュアル JIS Q 15001:2017 適用 承 認 ( 社長 ) 作 成 ( 管理責任者 ) 6 月 1 日 6 月 1 日 株式会社 サンプル
目 次 1. 適用範囲 P4 2. 引用規格 P5 3. 用語及び定義 P5 4. 組織の状況 P7 4.1 組織及びその状況の理解 P7 4.2 利害関係者のニーズ及び期待の理解 P7 4.3 個人情報保護マネジメントシステムの適用範囲の決定 P7 4.4 個人情報保護マネジメントシステム P7 5. リーダーシップ P8 5.1 リーダーシップ及びコミットメント P8 5.2 方針 P8 5.3 組織の役割 責任及び権限 P10 6. 計画 P11 6.1 リスク及び機会に対処する活動 P11 6.1.1 一般 P11 6.1.2 個人情報保護リスクアセスメント P11 6.1.3 個人情報保護リスク対応 P15 6.2 個人情報保護目的及びそれを達成するための計画策定 P15 7. 支援 P16 7.1 資源 P16 7.2 力量 ( 教育訓練 ) P16 7.2.1 要求される力量 P16 7.2.2 教育訓練計画 P16 7.2.3 実施した教育訓練の有効性評価 P17 7.2.4 教育訓練記録の保持 P17 7.3 認識 P17 7.4 コミュニケーション P17 7.5 文書化した情報 P19 7.5.1 一般 P19 7.5.2 作成及び更新 ( 改訂 ) P19
7.5.3 文書化した情報の管理 P19 8. 運用 P20 8.1 運用の計画及び管理 P20 8.2 個人情報保護リスクアセスメント P20 8.3 個人情報保護リスク対応 P20 9. パフォーマンス評価 P21 9.1 監視 測定 分析及び評価 P21 9.2 内部監査 P21 9.2.1 内部監査の目的 P21 9.2.2 内部監査プログラム P21 9.2.3 内部監査の実施 P22 9.3 マネジメントレビュー P22 9.3.1 マネジメントレビューの実施 P22 9.3.2 マネジメントレビューのインプット P23 9.3.3 マネジメントレビューのアウトプット P23 9.3.4 マネジメントレビューの記録 P23 10. 改善 P24 10.1 不適合及び是正処置 P24 10.2 継続的改善 P24 改訂歴表
1 適用範囲 当社は 個人情報保護マネジメントシステム - 要求事項 ( 以下 JISQ15001) に準拠した個人情報保護を構築する 本マニュアルは 当社の個人情報保護マネジメントシステムの確立 導入 運用 監視 見直し 維持及び改善の枠組みを規定する (1) 適用事業 オンラインメディア企画制作業務 発送代行業務 事務局代行業務 広告代理業務 EC メディア業務 (2) 適用組織 安全管理規定 の組織図で示す組織 (3) 適用事業所 事業所名 本社 事業所住所
2 引用規格 引用規格は用いない 3 用語及び定義 用語の定義は JIS Q 15001:2017 に従うが 定義が必要な用語については 以下に定義を行う (1) 当法人株式会社サンプル (2) 個人情報個人に関する情報であって 当該情報に含まれる氏名 生年月日その他の記述 又は個人別に付された番号 記号その他の符号 画像苦しくは音声によって当該個人を識別できるもの ( 当該情報だけでは識別できないが 他の情報と組み合わせることによって当該個人を識別できるものを含む ) 但し 法人その他の団体に関して記録された情報に含まれる当該法人その他の団体の役員に関する情報を除く (3) 個人情報保護管理者社長によって 内部から任命された者であって 個人情報保護マネジメントシステムの実施及び運用に関する責任と権限を持つ者をいう 当社では 個人情報管理責任者という (4) 個人情報保護監査責任者社長によって 他の責任に関わりなく責任と権限を与えられ 内部から任命された者であって 個人情報保護マネジメントシステムの監査に関する責任と権限を持つ者をいう 当社では 監査リーダーという (5) 内部監査員社長から任命された者であって 個人情報保護監査責任者の指示に基づき 内部監査の実施及び報告を行うものを指す (6) 個人情報管理者 (Pマーク推進委員) 個人保護に関し その中核として個人情報保護マネジメントシステムを推進する者を指す (7) 社員当法人の個人情報保護マネジメントシステム運用における社員とは 当法人の社員 嘱託 パート 派遣社員 アルバイトを含めた全従業員を指す (8) 利用当法人が 業務において個人情報を処理すること (9) 提供当法人が 当法人外のものに自ら保有する個人情報を利用可能にすること
(10) 預託当法人が 当法人外のものに情報処理を委託するなどのために自ら保有する個人情報を預けること (11) 個人番号関係事務取扱担当者社長から任命された者であって 個人番号を処理する者及び個人番号関係事務を行う者をいう
4 組織の状況 4.1 組織及びその状況の理解当社は P マーク推進委員会において 組織の目的に関連し かつ個人情報保護マネジメントシステムの意図した成果を達成する能力に影響を与える 外部及び内部の課題を決定し リスク一覧表 に示す 4.2 利害関係者のニーズ及び期待の理解 当社は 顧客等をはじめとする利害関係者を特定し それらの要求事項および法的及び規制 要求事項を以下に示す 利害関係者 個人情報保護に関する要求事項 顧客 契約上の義務 ( 契約書 ) 個人情報の機密性 完全性 可用性の確保 従業員 個人情報の機密性 完全性 可用性の確保 個人情報の保護 政府 行政 国民 個人情報保護に関する法令 ( 法的要求事項登録簿 ) 4.3 個人情報保護マネジメントシステムの適用範囲の決定当社は 適用範囲を決定する場合 以下に事項を考慮して 適用範囲を決定し 決定した適用範囲は 文書化した情報として利用可能な状態にしておく (1) 4.1 に規定する外部及び内部の課題 (2) 4.2 に規定する要求事項 (3) 組織が実施する活動と他の組織が実施する活動との間のインターフェース及び依存関係 4.4 個人情報保護マネジメントシステム 当社は JISQ15001:2017 の要求事項に従って 個人情報保護マネジメントシステムを確立し 実施し 維持し かつ継続的に改善を行う 詳細については 以下の章に基づき規定する
5 リーダーシップ 5.1 リーダーシップ及びコミットメント社長は 次に示す事項によって 個人情報保護マネジメントシステムに関するリーダーシップ及びコミットメントを実証する (1) 内部向け個人情報保護方針及び個人情報保護目的を確立し それらが組織の戦略的な方向性と両立することを確実にする (2) 組織の事業プロセスへの個人情報保護マネジメントシステム要求事項への統合を確実にする (3) 個人情報保護マネジメントシステムに必要な経営資源が利用可能であることを確実にする (4) 有効な個人情報保護マネジメント及び個人情報保護マネジメントシステム要求事項への適合の重要性を利害関係者に伝達する (5) 個人情報保護マネジメントシステムがその意図した成果を達成することを確実にする (6) 個人情報保護マネジメントシステムの有効性に寄与するよう人々を指揮し 支援する (7) 継続的な改善を促進する (8) その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう その管理層の役割を支援する 5.2 方針 5.2.1 内部向け個人情報保護方針社長は 次の事項を満たす内部向け 個人情報保護方針 を制定し 文書化して利用可能とし 組織内に伝達する また 必要に応じて 利害関係者が入手可能であるようにする (1) 組織の目的に対して適切である (2) 個人情報保護目的を含むか又は個人情報保護目的の設定のための枠組みを示す (3) 個人情報保護に関連して適用される要求事項を満たすことへのコミットメントを含む (4) 個人情報保護マネジメントシステムの継続的改善へのコミットメントを含む 策定した内部向け 個人情報保護方針 は, 以下に示す事項を満たす (5) 文書化した情報として 利用可能である (6) 組織内に伝達され 理解され 適用される (7) 必要に応じて 利害関係者が入手可能である 5.2.2 外部向け個人情報保護方針社長は 次の事項を満たす外部向け 個人情報保護方針 を制定し 文書化して 一般の人が知り得るようにする (1) 5.2.1 で確立した内部向け個人情報保護方針に対して矛盾しない
6 計画 6.1 リスク及び機会に対処する活動 6.1.1 一般個人情報保護マネジメントシステムの計画を策定するとき 前項 4.1 に規定する課題及び 4.2 に規定する要求事項を考慮し P マーク推進委員会において 次の事項について対処する必要があるリスク及び機会を決定し リスク一覧表 に記入する (1) 個人情報保護マネジメントシステムが その意図した成果を達成できることを確実にする (2) 望ましくない影響を防止 又は低減する (3) 継続的改善を達成する (4) 決定したリスク及び機会に対処する活動を計画する (5) 計画された活動は 個人情報保護マネジメントシステムプロセスへの統合及び実施を行う (6) 計画された活動の有効性評価を行う 6.1.2 個人情報保護リスクアセスメント当社は 以下の事項を行う個人情報保護リスクアセスメントのプロセスを定め 適用する (1) 以下を含む個人情報保護のリスク基準を確立し 維持する 1 リスク受容基準 1) 6.1.2(4)3で計算したリスク値が 6 以下のリスクは受容( 保有 ) する 2) リスク値が 8 9 の場合は 該当する情報資産 脅威を考慮して状況に応じて 受容するか否かを決定する 3) リスク値が 10 以上の場合 管理策を採用し リスクを低減する か リスクを移転する あるいは リスクを回避する 対応をとり リスク値を 6 以下に低減する 4) リスク値が 10 以上で リスク値を受容水準以下に低減させることが 事業上の理由により不可能である場合は P マーク推進委員会でその受容の可否を審議し 組織としてそのリスクを受容する リスク受容基準 脅威のレベル 1 2 3 ぜい弱性のレベル 1 2 3 1 2 3 1 2 3 事業に与える損害 1 2 3 4 3 4 5 4 5 6 2 4 6 8 6 8 10 8 10 12 3 6 9 12 9 12 15 12 15 18 原則受容受容可能リスク対応 2 個人情報保護リスクアセスメントを実施するための基準 以下に示す方法でリスクアセスメントを実施する
下図に リスク計画のフローを示す Step1 個人情報の特定 ( 該当部門 ) 外部及び内部の課題 利害関係者のニーズ を考慮したリスク及び機会の決定 ( リスク一覧表 ) 個人情報管理台帳の作成 ( 個人情報管理台帳 ) Step2 リスクの特定 ( リスクアセスメント結果表 ) Step3 リスクの分析及び評価 ( リスクアセスメント結果表 ) Step4 リスク対応の選択 ( リスクアセスメント結果表 ) Step5 管理策の選択 ( リスクアセスメント結果表 ) Step6 リスク対応計画の策定 ( リスク対応計画書 ) Step7 リスク対応計画及び残留リスクの承認 ( 承認の記録 ) 個人情報保護方針 顧客 法令等の要求事項 Step8 個人情報保護目的を達成するための計画の策定 ( 情報セキュリティ目標管理表 )
8 運用 8.1 運用の計画及び管理当社は 個人情報保護要求事項を満たすため 6.1 で決定した活動及び 6.2 で決定した個人情報保護目的の達成を実施するために必要なプロセスを計画し 実施 管理を行う これには 計画した変更を管理し 意図しない変更によって生じた結果をレビューし 必要に応じて 有害な影響を軽減する措置及び外部に委託したプロセスも含む また これらのプロセスが計画通りに実施された証拠として 文書化した情報を保持する 8.2 個人情報保護リスクアセスメント P マーク推進室は 下記事項が生じた場合 該当部門の協力を得て リスクアセスメントの見直しを実施する 1 新たな個人情報が追加されたとき 2 組織の大幅な変更 ( 組織の新設 統廃合 場所の移転 ) 3 提供する製品 サービスの変更 4 業務の進め方の変更 5 新たな脅威 脆弱性を認識したとき 6 外部環境 例えば新たな法律の制定 7 外部及び内部の課題の変化 8 顧客等利害関係者の要求事項の変化 なお リスクアセスメントの結果 必要に応じ リスクアセスメント結果表 リスク対応計 画書 を改訂し 承認を得る 8.3 個人情報保護リスク対応実施責任者は リスク対応計画書 に記載されている計画を実施する また P マーク推進室は 2ヶ月に 1 回 リスク対応計画書 の進捗状況をチェックして 記録し 計画に遅延または障害が生じた場合は 実施責任者と対応を協議する
9 パフォーマンス評価 9.1 監視 測定 分析及び評価当社は 個人情報保護パフォーマンス及び個人情報保護マネジメントシステムの有効性を評価し 次の事項を決定する また 監視及び測定の結果の証拠として 文書化した情報を保持する (1) 必要とされる監視及び測定の対象 これには 個人情報保護プロセス及び管理策を含む (2) 該当する場合には 必ず 妥当な結果を確実にするための 監視 測定 分析及び評価の方法 (3) 監視及び測定の実施時期 (4) 監視及び測定の実施者 (5) 監視及び測定の結果の 分析及び評価の時期 (6) 監視及び測定の結果の 分析及び評価の実施者 監視 測定対象 分析 評価方法 監視及び測定の 実施時期 結果の分析及び評価の時期 担当部門 ( 実施者 ) セキュリティログ ( アクセスログ ) 傾向分析 都度 毎月 システム管理者 設定したセキュリテ P マーク推進委員 毎月 毎年 2 月 各部門 ィ目標 会にて評価 情報セキュリティ事象 ( ヒヤリハット ) 傾向分析 都度 毎年 2 月 P マーク推進室 9.2 内部監査 9.2.1 内部監査の目的当社の個人情報保護マネジメントシステムの管理目的 管理策 プロセス 手順が次の事項を満たしているか確認する 1 当社の基本方針 本個人情報保護マニュアルが JISQ15001:2017 に適合していること また関連する法令または規制 ( 顧客要求含む ) に適合していること 2 本個人情報保護マニュアル及び管理策運用規定 情報セキュリティ安全管理規定に適合していること 3 有効に実施され 維持されていること 9.2.2 内部監査プログラム (1) 内部監査は 年 1 回実施する また個人情報管理責任者が必要と認めた場合 臨時監査を実施することができる (2) 内部監査責任者は 監査対象の状況と重要性 ならびにこれまでの監査結果を考慮して 監査プログラムを策定し 個人情報管理責任者の承認を得る
9.3.2 マネジメントレビューのインプット 個人情報管理責任者は 下記の事項をインプット情報として 社長に報告を行う No インプット項目 参照記録 1 前回までのマネジメントレビューの結果とった処置の状況 前回の個人情報保護マネジメントシステムマネジメントレビュー議事録 2 個人情報保護マネジメントシステムに関連する外部及び リスク一覧表 内部課題の変化 3 不適合及び是正処置 是正処置に関する報告書セキュリティインシデント報告書 4 監視及び測定の結果 管理策測定評価表個人情報保護マネジメントシステムの有効性レビュー実施結果表 5 監査結果 内部監査報告書 外部監査報告書是正処置に関する報告書 6 個人情報保護目的の達成 情報セキュリティ目標管理表 7 利害関係者 ( 顧客等 ) からのフィードバック 顧客等からの通達 8 リスクアセスメントの結果及びリスク対応計画の状況 リスク一覧表リスクアセスメント結果表リスク対応計画書 9 継続的改善の機会 情報セキュリティ事象記録簿是正処置に関する報告書 9.3.3 マネジメントレビューのアウトプット社長は 個人情報管理責任者からのマネジメントレビューのためのインプット情報を根拠に マネジメントレビューとして以下の指示を行う (1) 継続的改善の機会 (2) 個人情報保護マネジメントシステムのあらゆる変更の必要性に関する決定 9.3.4 マネジメントレビューの記録 個人情報管理責任者は マネジメントレビューの結果は記録に残し 具体的な対応は P マー ク推進委員会において検討を行う
10 改善 10.1 不適合及び是正処置各該当部門の該当者は 不適合が発生した場合 次の事項を実施し 是正処置に関する報告書 に その結果を記録し 保持する (1) その不適合を特定し 該当する場合には 必ず次の事項を実施する 1) その不適合を管理し 修正するための処置をとる 2) その不適合によって起こった結果に対処する (2) その不適合の再発又は他のところで発生しないようにするため 次の事項を実施し その不適合の原因を除去するための処置をとる必要性を評価する 1) その不適合のレビュー 2) その不適合の原因の明確化 3) 類似の不適合の有無又はそれが発生する可能性の明確化 (3) 必要な処置を実施する (4) とった全ての是正処置の有効性をレビューする (5) 必要な場合には 個人情報保護マネジメントシステムの変更を行う 10.2 継続的改善当社は 個人情報保護マネジメントシステムの適切性 妥当性及び有効性を継続的に改善するために 以下の活動を行う (1) 個人情報保護マネジメントシステムの実施状況の監視 見直し結果 ( 外部 / 内部監査結果 日常点検 セキュリティインシデントの反省 顧客要求など ) に基づく是正処置の実施 (2) 当社個人情報保護マネジメントシステムの枠組みについての見直しによる改善 ( マネジメントレビュー 文書の見直し ) (3) セキュリティ目標の達成と さらなるセキュリティレベルの向上を目指した目標の設定 (4) 外部及び内部の課題の変化に即応したリスク対応 ( リスクアセスメント リスク対応計画の見直しなど )
JISQ15001:2017 に完全対応した個人情報保護マニュアルサンプル (P マークマニュアルサンプル ) を有料にて ワードファイルで提供中です 有料版には 目次のすべてが含まれています 提供価格 :16,200 円 ( 税込 ) 購入方法 : 1. 下記のホームページのお問い合わせにて E メールで購入のご連絡をお願い致します https://www.iso-mi.com/ ご要望欄に P マークマニュアルサンプル購入希望 ご記入ください 2. 当事務所にメールが届き 確認次第 請求書と共に入金口座をお知らせ致します なお 振り込み手数料については ご負担頂けますようお願い致します 3. ご入金が確認でき次第 E メールにて納品致します 領収書が必要な場合は お申し出 ください また 納品したファイルが開けない 破損している場合は その旨をご連 絡下さい 交換致します その他ご質問等は下記のメールアドレスにてお願い致します 注意事項 : 1. 本商品 (P マークマニュアルサンプル ) を転売する等の商用利用 を禁止致します 商用利用とは 顧客等へのコンサルツールの利用も含みます 2. 本商品 (P マークマニュアルサンプル ) にあるサンプル文例は あくまでもサン プルですので 実際の文面は 必ず自社の実態にあったものをお書きください 3 個人 ( 顧問を含む ) やコンサルタント事業者様 士業様には ご購入は ご遠慮頂いております 以 上