YPM-P010ＰＭＳマニュアル【表題】

配布複製 P M S マニュアル第 2.5 版文書番号発行日 2017 年 2 月 28 日適用開始日 2017 年 2 月 28 日適用範囲公開制限社内社内関連部門及び関連会社発行元株式会社横浜電算適用規格 JIS Q 15001:2006 本書を教育目的または参考資料として配布する場合は管理外文書とし表紙に管理外文書であることが明確に分かるよう識別を付加すること承認者 2017/02/28 土屋文秀作成者 2017/02/28 松本英樹 All Rights Reserved, Copyright 株式会社横浜電算 2010-2017

PMS マニュアルの発行情報改定履歴発行版数発行日変更理由内容第 1.0 版 2010 年 10 月 1 日初版第 1.1 版 2010 年 12 月 20 日 Pマーク認定機関文書審査指摘事項対応第 1.2 版 2011 年 3 月 17 日 Pマーク認定取得版発行第 1.3 版 2011 年 8 月 25 日法人名称変更第 1.4 版 2012 年 2 月 23 日組織概念図訂正第 1.5 版 2012 年 11 月 22 日組織概念図訂正記載誤り訂正第 1.6 版 2013 年 2 月 21 日法的要求事項訂正項番 19,20,21,30 第 1.7 版 2013 年 9 月 17 日法的要求事項追加項番 3(ISMS 対応 ) 第 1.8 版 2014 年 5 月 22 日法的要求事項項番 35 改定日法的要求事項公布施行改正欄 URL 全面変更第 1.9 版 2015 年 2 月 16 日 Pマーク認定機関文書審査指摘事項対応第 2.0 版 2015 年 5 月 28 日組織変更に伴う付録 A 更新法的要求事項 URL 更新法的要求事項更新項番 3(ISO/IEC 27001:2013 更新 ) 第 2.1 版 2015 年 8 月 31 日法的要求事項追加項番 4( 番号法追加 ) 第 2.2 版 2015 年 11 月 26 日 JIS Q 15001と部署 ( 機能 ) とのマトリックス ( 付録 A) 更新 JIS Q 15001と部署 ( 機能 ) とのマトリックス ( 付録 A) 更新第 2.3 版 2016 年 5 月 24 日法的要求事項交付施行改正欄改定日 URL( 付録 B) 更新組織概念図 ( 付録 C) 更新 ) 第 2.4 版 2016 年 11 月 11 日行政手続における特定の個人を識別するための番号の利用等に関する法律への対応 2016 年内部監査指摘対応 : 記述間違い訂正第 2.5 版 2017 年 2 月 28 日外部監査指摘特定個人情報に関して追記

目次 < 個人情報保護マネジメントシステムの概念 > 1 1. 目的適用範囲 6 2. 引用規格ガイドライン 7 3. 用語及び定義 8 4.PMS 11 4.1 一般要求事項 11 4.2 PMSの確立及び運営管理 11 4.3 PMSの確立 11 4.4 PMSの導入及び運用 17 4.5 PMSの点検 28 4.6 PMSの見直し 30 4.7 罰則 31 解説 32 以上

PMS マニュアル個人情報保護マネジメントシステムの概念プロセスアプローチ当社における個人情報保護マネジメントシステム ( 以下 PMSとする ) は PDCAモデルに基づいたプロセスアプローチ ( 図 1 参照 ) を採用して構築する当社のPMSがプロセスアプローチを採用することにより確立導入運用監視維持され且つその有効性について改善されることを目的とするインプットプロセスアウトプット図 1: プロセスアプローチ ( 重要事項及び用語について解説したものである ) プロセスとはインプットをアウトプットに変換するために経営資源を使用して運営管理される活動を指すアプローチとは組織内に存在するプロセスを明確にしそれらの相互関係を把握しこれら一連のプロセスをシステムとして適用して運営管理する考え方を指すプロセスアプローチとは組織内においてプロセスを明確にしその相互関係を把握し運営管理することとあわせて一連のプロセスをシステムとして適用することを指すプロセスアプローチによってその利用者は下記に示す事項の重要性を明確に認識することができる 1 事業上のPMS 要求事項を理解し個人情報保護方針特定個人情報保護方針及び個人情報特定個人情報を保護するための内部規程を確立する必要性を理解する 2 当社における個人情報の取扱いについて適切な管理策を導入し運用する 3PMSの実施状況及び有効性を点検する 4 監査結果及びその他の経営環境に基づいてPMSを見直しする 1/33

PMSマニュアル PDCAモデル当社では PMSにおける管理手法として採用したプロセスアプローチを実現するための考え方として PDCAモデルを適用する PDCAモデルを適用することにより PMSのプロセスが整理され継続的な学習と改善の機会を当社の個人情報保護管理体制に提供することができる Plan- 計画 (PMS の確立 ) 当社の個人情報保護方針に沿った結果を出すための管理策プロセス及び手順を含めた PMS を確立する Do- 実施 (PMS の導入及び運用 ) その個人情報保護方針管理策プロセス及び手順を導入し運用する Check- 点検 (PMS の点検 ) 個人情報保護方針及び実際の経験に照らしてプロセスの実施状況を評価しその結果を見直しのために経営陣に報告する Act- 処置 (PMS の見直し ) PMS の継続的な改善を達成するためにマネジメントレビューを実施しその結果に基づいて是正処置及び予防処置を講じる PMSプロセスとは利害関係者の要求事項及び期待をインプットにこれらの要求事項及び期待を満たすセキュリティの結果 ( 運用管理されたセキュリティ ) をアウトプットとして導くために必要な活動及びプロセスを指す利害関係者とは組織のパフォーマンス及び成功に利害関係を持つ人またはグループを指す利害関係者の要求事項とは例えば利害関係者とのSLA 法的要求事項 PMSの要求事項等を指す 2/33

PMSマニュアル PMSプロセスに適用されるPDCAモデル利害関係者の要求事項及び期待をインプットとし必要な活動及びプロセスを経てこれらの要求事項及び期待を満たすセキュリティの成果 ( すなわち運営管理されたセキュリティ ) を生み出すことを表したものが図 2である Plan( 計画 ) PMS の確立利害関係者利害関係者要求事項及び期待 Do( 実施 ) PMS の導入及び運用維持改善及び改善サイクル Act( 改善 ) PMS の見直し運営管理されたセキュリティ PMS の点検 Check( 点検 ) 図 2:PMS プロセスに適用される PDCA モデルこの図はあくまで一般モデルで当社におけるPMSの維持 / 改善活動の体系を具体化したものではない当社のPMSにおける維持 / 改善活動の体系 ( 詳細なレベル ) については図 3:PMSプロセス全体図にて示す 3/33

PMS マニュアル PMS プロセス全体図 Plan Act Check 個人情報保護方針の設定有効性改善点検 PMS 構築利害関係者個人情報の特定 ~ リスク等の認識分析及び対策対応計画策定実施是正予防マネジメントレビュー内部監査利害関係者 Do PMS の運用業務活動 ( サービス提供 ) 図 3:PMS プロセス全体図 (1)Plan 1 個人情報保護方針特定個人情報保護方針の設定個人情報保護方針個人情報保護リスク管理手順当社における個人情報保護方針を設定する詳細については個人情報保護方針 (YPM-P001) 特定個人情報保護方針 (YPM-P002) に別途定めるものとする 2 個人情報の特定 ~リスク等の認識分析及び対策当社が保有するすべての個人情報を特定するための手順を確立し維持するとともに特定した個人情報特定個人情報に関するリスク等を認識 / 分析し必要な対策を講じる手順を確立 / 維持するものとする詳細については個人情報保護リスク管理手順 (YPM-P500) に別途定めるものとする 4/33

PMS マニュアル (2)Do 1 対応計画策定実施個人情報保護リスク管理手順個人情報の取得に関する手順個人情報の利用及び提供に関する手順個人情報の開示等に関する手順個人情報の委託に関する手順個人情報保護安全対策管理手順上記 (1)2にて認識したリスクに対して対応する適切な管理策を策定し実施する詳細については個人情報保護リスク管理手順 (YPM-P500) に別途定めるものとする 2PMSの運用日常業務において当社のPMSに則った運用を確実に実施する詳細については個人情報の取得に関する手順 (YPM-P200) 個人情報の利用及び提供に関する手順 (YPM-P210) 個人情報の開示等に関する手順 (YPM-P220) 個人情報の委託に関する手順 (YPM-P230) 個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする (3)Check 個人情報保護監査手順個人情報保護安全対策管理手順 1 内部監査当社はPMSの JIS Q 15001:2006 への適合状況及び運用状況について定期的に内部監査を実施する詳細については個人情報保護監査手順 (YPM-P400) に別途定めるものとする 2 点検当社のPMSが適切に運用されているか定期的 ( 毎日 ) に点検を実施する詳細については個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする (4)Act 1 マネジメントレビュー個人情報保護組織手順個人情報保護是正予防処置手順セキュリティ委員会にてマネジメントレビューを実施する詳細については個人情報保護組織管理手順 (YPM-P100) に別途定めるものとする 2 是正予防点検の結果緊急事態の発生及び外部機関の指摘苦情等による不適合の再発防止のために是正処置及び予防処置を実施する詳細については個人情報保護是正予 5/33

PMSマニュアル防処置手順 (YPM-P700) に別途定めるものとする 3 有効性改善マネジメントレビューを通じて当社のPMSの有効性について継続的に改善する 1. 目的適用範囲 1.1 目的本書は当社のPMSに関連する全てのプロセスが個人情報保護マネジメントシステム- 要求事項の規約に適用していることを明確にするために規定するものであるまた本書は下記に示す事項について当社の取組みを示すものである (1) 当社の個人情報を保護するために十分でバランスのとれた適切なセキュリティ管理策を確保している能力があることを実証する (2)PMSの継続的改善を含むシステムの効果的な適用により顧客及び他の利害関係者に対する信頼性の向上を目指す 1.2 適用範囲当社における全部門の役員正社員派遣社員契約社員パートタイマーを含む全従業員に適用する上記適用範囲は当社が事業の用に供しているすべての個人情報を対象とし個人の住所録等個人が自己のために個人情報を取り扱っている場合は対象としない事業の用に供しているとは一定の目的をもって反復継続して遂行される同種の行為であってかつ一般社会通念上事業と認められるものをいい利事業だけを対象とするものではない従業者の個人情報は事業の用に供している個人情報であるなお倉庫業データセンター ( ハウジングホスティング ) 等の事業において当該個人情報が個人情報に該当するかどうか認識することなく預かっている場合はその情報の中に含まれる個人情報については事業の用に供していないといえる 6/33

PMS マニュアル 2. 引用規格 / ガイドライン本書は下記の規格 / ガイドラインを引用規格として適用 ( 最新版のみ ) する個人情報の保護に関する法律 ( 以下個人情報保護法とする ) JIS Q 15001:2006 個人情報保護マネジメントシステム- 要求事項個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針 JIS Q 15001:2006 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン情報サービス産業個人情報保護ガイドライン行政手続における特定の個人を識別するための番号の利用等に関する法律特定個人情報の適正な取扱いに関するガイドライン( 事業者編 ) ( 個人情報保護委員会発行 ) 特定個人情報の適正な取扱いに関するガイドライン( 行政機関等地方公共団体等編 ) ( 個人情報保護委員会発行 ) 特定個人情報の取扱いの対応について ( 一般財団法人日本情報経済社会推進協会 (JIPDEC) 発行 ) 7/33

PMS マニュアル 3. 用語及び定義本書の目的のために下記の用語及び定義を適用するその他別段の定めがある場合を除き個人情報保護法の第 2 条に定義があるものについてはそれを準用する個人情報生存する個人に関する情報であって当該情報に含まれる氏名生年月日その他の記述などによって特定の個人を識別できるもの ( 他の情報と容易に照合することができそれによって特定の個人を識別することができることとなるものを含む ) をいう番号法第 2 条第 3 項個人情報保護法第 2 条第 1 項 (JIS Q15001:2006 を参照 ) 個人情報には死者の情報も含まれるが歴史上の人物まで対象とするものではない本人個人情報によって識別される特定の個人 (JIS Q15001:2006 を参照 ) 事業者 : 事業を営む法人その他団体又は個人 (JIS Q15001:2006 を参照 ) 個人情報保護管理者代表者によって事業者の内部の者から指名された者であって個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限をもつ者 (JIS Q15001:2006 を参照 ) 特定個人情報保護管理者当社では個人情報保護管理者が兼務する個人情報保護監査責任者代表者によって事業者の内部の者から指名された者であって公平かつ客観的な立場にあり監査の実施及び報告を行う責任及び権限をもつ者 (JIS Q15001:2006 を参照 ) 8/33

PMSマニュアル本人の同意本人が個人情報の取扱いに関する情報を与えられた上で自己に関する個人情報の取扱いについて承諾する意思表示本人が子供又は事理を弁識する能力を欠く者の場合は法定代理人等の同意も得なければならない (JIS Q15001:2006 を参照 ) 同意とは本人の署名同意欄へのチェックウェブサイト上での同意ボタンの押下等の明示的な方法によって本人の意思が表示されていることが原則である子供とはここでいう子供とは一般的に 12 歳 ~15 歳迄の年齢以下が対象となる事理を弁指揮する能力を欠く者とは判断力に懸念があると考えられる成人( 成年被後見人被保佐人被補助人等 ) を指す個人情報保護マネジメントシステム (PMS) 事業者が自らの事業の用に供する個人情報についてその有用性に配慮しつつ個人の権利利益を保護するための方針体制計画実施点検及び見直しを含むマネジメントシステム (JIS Q15001:2006 を参照 ) 不適合 JIS Q15001:2006 の要求事項及び本マニュアルの要求事項を満たさない場合 (JIS Q15001:2006 を参照 ) 個人情報保護教育責任者代表者又は個人情報保護管理者によって事業者の内部の者から指名された者であって個人情報保護管理者を補佐して従業者及び取り扱い委託先の教育の実施並びに報告を行う責任及び権限を有する者をいう ( 情報サービス産業個人情報保護ガイドラインを参照 ) 9/33

PMS マニュアル当社 : 株式会社横浜電算の全部門を指す全従業員当社における全部門の役員正社員派遣社員契約社員パートタイマーを含む全ての従業員を指す個人番号番号法第 7 条第 1 項又は第 2 項の規定により住民票コードを変換して得られる番号であって該当住民票コードが記載された住民票に係る者を識別するために指定されるものをいう特定個人情報個人番号をその内容に含む個人情報をいう特定個人情報ファイル個人番号をその内容に含む個人情報ファイルをいう個人番号利用事務行政機関地方公共団体独立行政法人等その他の行政事務を処理する者が番号法第 9 条 ( 利用範囲 ) 第 1 条又は第 2 項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し及び管理するために必要な限度で個人番号を利用して処理する事務をいう個人情報関係事務番号法第 9 条 ( 利用範囲 ) 第 3 項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう個人番号利用事務実施者個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をいう個人番号関係事務実施者個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう 10/33

PMS マニュアル 4. 個人情報保護マネジメントシステム (PMS) 4.1 一般要求事項当社は個人情報保護マネジメントシステムを確立し実行し維持しかつ改善しているその要求事項については本書にて規定するものとする 4.2 PMS の確立及び運営管理当社は図 2 に示す PDCA モデルを採用して PMS を構築しこの PMS の要求事項に従って運営管理を行う ( 表 1 参照 ) 活動 Plan- 計画 (PMSの確立) Do- 実施 (PMSの導入及び運用) Check- 点検 (PMSの点検) Act- 処置 (PMSの見直し) 個人情報保護マネシメントシステム- 要求事項の条項 3.2 及び 3.3 3.4~3.6 3.7 3.8 及び 3.9 本書の項番 4.3 4.4 4.5 4.6 表 1:PDCA モデルの各ステップと条項の対応 4.3 PMSの確立当社は表 1よりPMSを確立するにあたり図 4に示す9つのフェーズを実施する 4.3 項における参照文書一覧個人情報保護方針特定個人情報保護方針特定個人情報等取扱規程個人情報の利用及び提供に関する手順個人情報保護リスク管理手順個人情報の開示等に関する手順個人情報保護組織管理手順個人情報保護是正予防処置手順個人情報保護安全対策管理手順個人情報保護文書管理手順個人情報の取得に関する手順個人情報保護記録管理手順就業規則 11/33

4.3.1 PMS 適用範囲の決定当社における PMS の適用範囲は 1.2 項適用範囲に定めるものとする PMS マニュアル 4.3.2 個人情報保護方針の策定社長は個人情報保護の理念を明確にしたうえで下記の事項を含む個人情報保護方針特定個人情報保護方針を定めるとともにこれを実行し維持するものとするまたこの方針を文書化し全従業員に周知 ( 社内 HPへ公開 ) するとともに一般の人が入手可能な措置 ( 社外 HPへ公開 ) を講じるものとする詳細については個人情報保護方針 (YPM-P001) 特定個人情報保護方針 (YPM-P002) に別途定めるものとする (1) 事業の内容及び規模を考慮した適切な個人情報の取得利用及び提供に関すること特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い ( 以下目的外利用とする ) を行わないこと及びそのための措置を講じることを含む (2) 個人情報の取扱いに関する法令国が定める指針その他の規範を遵守すること (3) 個人情報の漏えい滅失又はき損の防止及び是正に関すること (4) 苦情及び相談への対応に関すること (5)PMSの継続的改善に関すること (6) 代表者の氏名 12/33

PMS マニュアル代表者とは代表権をもつ者を指す個人情報保護方針とは個人情報保護に関する取組みを内外に宣言する公式文書を指す個人情報保護の理念及び経営責任等を明確にするため取締役会の決議を経る等一定の手続を経て定める必要がある特定個人情報保護方針とは特定個人情報保護に関する取組みを内外に宣言する公式文書を指す個人番号及び特定個人情報 ( 特定個人情報等 ) の適正な取扱いの確保について組織として取り組むため本基本方針を定める個人情報保護の理念とは事業者が個人情報保護に取り組む姿勢や基本的考え方を指す国が定める指針とは個人情報保護法に基づいて各所管省庁が作成したガイドライン指針等を指す 4.3.3 個人情報の特定当社は自らの事業の用に供するすべての個人情報及び特定個人情報を特定するための手順を確立しかつ維持するものとする詳細については個人情報の取得に関する手順 (YPM-P200) に別途定めるものとする 4.3.4 法令国が定める指針その他の規範の特定当社は下記の事項より個人情報の取扱いに関する法令国が定める指針その他の規範を特定 / 参照できる手順を確立し維持するものとする (1) 特定手順セキュリティ委員会にて個人情報の取扱いに関する法令国が定める指針その他の規範における情報収集 / 検討を行い特定するものとするなお情報収集先としては解説 3 主な情報収集機構に記載されている各機構を原則とする (2) 参照手順セキュリティ委員会は特定された個人情報の取扱いに関する法令国が定める指針その他の規範を法的要求事項確認書 ( 付録 B) として取り纏めるとともに URL を記載し参照可能とする 13/33

PMSマニュアル (3) 維持手順セキュリティ委員会は法的要求事項確認書 ( 付録 B) を常に最新の状態として維持するためにその都度見直しを実施するとともに定期的な見直しを毎年 4 月に実施する見直した結果変更等があった場合にはすみやかに対応 / 必要に応じてPMSへ反映させるものとするなお情報収集先としては上記 (1) 特定手順と同様とする 4.3.5 リスクなどの認識分析及び対策当社は特定した個人情報及び特定個人情報について目的外利用を行わないため必要な対策を講じる手順を確立し維持するものとするまた個人情報及び特定個人情報を取り扱う各局面 ( ライフサイクル ) におけるリスク ( 個人情報の漏えい滅失又はき損関連する法令国が定める指針その他の規範に対する違反想定される経済的な不利益及び社会的な信用の失墜本人への影響等のおそれ ) を認識 / 分析するとともに必要な対策を講じる手順を確立し維持するものとする詳細については個人情報保護リスク管理手順 (YPM-P500) に別途定めるものとするリスクを認識するとは特定した個人情報及び特定個人情報の取得入力移送送信利用加工保管バックアップ消去廃棄に至る個人情報の取扱いの一連の流れの各局面において適正な保護措置を講じない場合に想定されるリスクを洗い出すことを指すリスクを分析するとは洗い出したリスクを定性的な評価等によって評価することを指す 4.3.6 資源役割責任及び権限の明確化社長は PMSを確立し実施し維持しかつ改善するために不可欠な資源を用意するとともに PMSを効果的に実施するための役割責任及び権限を定め文書化し全従業員へ周知するものとするまた個人情報保護管理者を当社の内部の者から指名し PMSの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え業務を行わせるものとする指名された個人情報保護管理者は PMSの見直し及び改善の基礎として社長へPMSの運用状況を 14/33

PMS マニュアル報告するものとする詳細については個人情報保護組織管理手順 (YPM-P100) に別途定めるものとする 4.3.7 内部規程の策定当社は下記の事項を含む内部規程を文書化し維持するとともに事業の内容に応じてPM Sが確実に適用されるよう内部規程を改定する (1) 個人情報を特定する手順に関する規定詳細については個人情報保護リスク管理手順 (YPM-P500) に別途定めるものとする (2) 法令国が定める指針その他の規範の特定参照及び維持に関する規定詳細については本書 PMSマニュアル ()( に別途定めるものとする (3) 個人情報に関するリスクの認識分析及び対策の手順に関する規定詳細については個人情報保護リスク管理手順 (YPM-P500) に別途定めるものとする (4) 当社の各部門及び階層における個人情報を保護するための権限及び責任に関する規定詳細については個人情報保護組織管理手順 (YPM-P100) に別途定めるものとする (5) 緊急事態 ( 個人情報が漏えい滅失又はき損をした場合 ) への準備及び対応に関する規定詳細は個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする (6) 個人情報の取得利用及び提供に関する規定詳細については個人情報の取得に関する手順 (YPM-P200) 及び個人情報の利用及び提供に関する手順 (YPM-P210) に別途定める (7) 個人情報の適正管理に関する規定詳細については個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする (8) 本人からの開示等の求めへの対応に関する規定詳細については個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする (9) 教育に関する規定詳細については個人情報保護教育手順 (YPM-P300) に別途定めるものとする (10)PMS 文書の管理に関する規定詳細については個人情報保護文書管理手順 (YPM-P800) 及び個人情報保護記録管理手順 (YPM-P850) に別途定めるものとする (11) 苦情及び相談への対応に関する規定詳細については個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする 15/33

PMSマニュアル (12) 点検に関する規定詳細については個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする (13) 監査に関する規程詳細については個人情報保護監査手順 (YPM-P400) に別途定めるものとする (14) 是正処置及び予防処置に関する規定詳細については個人情報保護是正予防処置手順 (YPM-P700) に別途定めるものとする (15) 社長による見直しに関する規定詳細については個人情報保護組織管理手順 (YPM-P100) に別途定めるものとする (16) 内部規程の違反に関する罰則を規定詳細については就業規則に別途定めるものとする 4.3.8 教育及び監査等の計画の策定当社は PMSを確実に実施するために必要な教育監査等の計画を年 1 回以上立案し文書化しかつ維持するものとする詳細については個人情報保護教育手順 (YPM-P300) 及び個人情報保護監査手順 (YPM-P400) に別途定めるものとする 4.3.9 緊急事態への準備当社は緊急事態を特定するための手順またそれらにどのように対応するかの手順を確立し実施しかつ維持するとともに個人情報が漏えい滅失又はき損をした場合に想定される経済的な不利益及び社会的な信用の失墜本人への影響等のおそれを考慮しその影響を最小限とするための手順を確立しかつ維持するものとするまた個人情報の漏えい滅失又はき損が発生した場合に備え下記の事項を含む対応手順を確立しかつ維持するものとする詳細については個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする (1) 当該漏えい滅失又はき損が発生した個人情報の内容を本人に速やかに通知し又は本人が容易に知り得る状態に置くこと (2) 二次被害の防止類似事案の発生回避等の観点から可能な限り事実関係発生原因及び対応策を遅滞なく公表すること (3) 事実関係発生原因及び対応策を関係機関に直ちに報告すること (4) 顧客から取り扱いの委託を受けた個人情報の漏えい滅失又はき損に関して直ちに委託元に報告すること 16/33

PMS マニュアル 9 つのフェーズを実施 Plan- 計画 (PMS の確立 ) 4.3.1 PMS 適用範囲の決定 4.3.2 個人情報保護方針の策定 Do- 実施 (PMS の導入および運用 ) 4.3.3 個人情報の特定 4.3.4 法令国が定める指針その他の規範の特定 4.3.5 リスクなどの認識分析及び対策 Check- 点検 (PMS の点検 ) 4.3.6 資源役割責任及び権限の明確化 4.3.7 内部規程の策定 Act- 処置 (PMS の見直し ) 4.3.8 教育及び監査等の計画の策定 4.3.9 緊急事態への準備図 4:PMS の確立の手順 4.4 PMSの導入及び運用当社は表 1よりPMSを導入及び運用するにあたり図 5に示す 7 つのフェーズを実施する 4.4 項における参照文書一覧個人情報の取得に関する手順個人情報の利用及び提供に関する手順個人情報保護安全対策管理手順個人情報の委託に関する手順個人情報の開示等に関する手順個人情報保護教育手順個人情報保護文書管理手順個人情報保護記録管理手順 17/33

PMS マニュアル 4.4.1 運用手順の明確化当社は PMS を確実に実施するために運用の手順を明確にするものとする 4.4.2 取得利用及び提供に関する原則 4.4.2.1 利用目的の特定当社は個人情報を取得するにあたってはその利用目的をできる限り特定しその目的の達成に必要な限度において行うものとする詳細については個人情報の取得に関する手順 (YPM-P200) に別途定めるものとする 4.4.2.2 適正な取得当社は適法かつ公正な手段によって個人情報を取得するものとする 4.4.2.3 特定の機微な個人情報の取得利用及び提供の制限当社は下記に示す内容を含む個人情報の取得利用又は提供は禁止とするただしこれらの取得利用又は提供について明示的な本人の同意がある場合及び 4.4.2.6 の (1)~(4) のいずれかに該当する場合は除くものとする (1) 思想信条又は宗教に関する事項 (2) 人種民族門地本籍地 ( 所在都道府県に関する情報を除く ) 身体精神障害犯罪歴その他社会的差別の原因となる事項 (3) 勤労者の団結権団体交渉その他団体行動の行為に関する事項 (4) 集団示威行為への参加請願権の行使その他の政治的権利の行使に関する事項 (5) 保険医療又は性生活に関する事項なおただし書きを適用する場合には事前に運用管理担当へ承認を得ることとするまた本人から同意を得て特定の機微な個人情報を取得利用又は提供する場合は書面にて本人の同意を得るものとする 4.4.2.4 本人から直接書面によって取得する場合の措置当社は本人から書面 ( 電子的方式磁気的方式等人の知覚によっては認識できない方式で作られる記録を含む以下同じ ) に記載された個人情報を直接に取得する場合には少なくとも下記の事項又はそれと同等以上の内容の事項をあらかじめ書面によって本人に明示し本人の同意を得るものとするただし人の生命身体又は財産の保護のために緊急に必要がある場合 4.4.2.5 の (1)~(4) のいずれかに該当する場合及び 4.4.2.6 の (1)~(4) のいずれかに該当する 18/33

PMSマニュアル場合は除くものとする詳細は個人情報の取得に関する手順 (YPM-P200) に別途定めるものとする (1) 当社名又は名称 (2) 個人情報保護管理者 ( 若しくはその代理人 ) の氏名又は職名所属及び連絡先 (3) 利用目的 (4) 個人情報を第三者に提供することが予定される場合の事項 1 第三者に提供する目的 2 提供する個人情報の項目 3 提供の手段又は方法 4 当該情報の提供を受ける者又は提供を受ける者の組織の種類及び属性 5 個人情報の取扱いに関する契約がある場合はその旨 (5) 個人情報の取扱いの委託を行うことが予定される場合にはその旨 (6)4.4.4.4~4.4.4.7 に該当する場合にはその求めに応じる旨及び問合せ窓口 (7) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果 (8) 本人が容易に認識できない方法によって個人情報を取得する場合にはその旨なおただし書きを適用する場合には所定の書式にて適用するただし書きの項番及び適用する理由を記載 / 事前に運用管理担当へ承認を得ることとする 4.4.2.5 個人情報を 4.4.2.4 以外の方法によって取得した場合の措置当社は個人情報を 4.4.2.4 以外の方法によって取得した場合はあらかじめその利用目的を公表している場合を除き速やかにその利用目的を本人に通知し又は公表するものとするただし下記の事項のいずれかに該当する場合は除くものとする詳細については個人情報の取得に関する手順 (YPM-P200) に別途定めるものとする (1) 利用目的を本人に通知し又は公表することによって本人又は第三者の生命身体財産その他の権利利益を害するおそれがある場合 (2) 利用目的を本人に通知し又は公表することによって当該事業者の権利又は正当な利益を害するおそれがある場合 (3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって利用目的を本人に通知し又は公表することによって当該事務の遂行に支障を及ぼすおそれがあるとき (4) 取得の状況からみて利用目的が明らかであると認められる場合なおただし書きを適用する場合には所定の書式にて適用するただし書きの項番及び適用す 19/33

PMS マニュアルる理由を記載 / 事前に運用管理担当へ承認を得ることとする 4.4.2.6 利用に関する措置当社は特定した利用目的の達成に必要な範囲内で個人情報を利用するものとする特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は事前に運用管理担当へ承認を得るとともにあらかじめ少なくとも 4.4.2.4. の (1)~(6) に示す事項又はそれと同等以上の内容の事項を本人に通知し本人の同意を得るものとするただし下記事項のいずれかに該当する場合は除くものとする詳細については個人情報の利用及び提供に関する手順 (YPM-P210) に別途定めるものとする (1) 法令に基づく場合 (2) 人の生命身体又は財産の保護のために必要がある場合であって本人の同意を得ることが困難であるとき (3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって本人の同意を得ることが困難であるとき (4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるときなおただし書きを適用する場合には事前に運用管理担当へ承認を得ることとする 4.4.2.7 本人にアクセスする場合の措置当社は個人情報を利用して本人にアクセスする場合には運用管理担当の承認を得るものとするまた本人に対して 4.4.2.4 の (1)~(6) に示す事項又はそれと同等以上の内容の事項及び取得方法を通知し本人の同意を得るものとするただし下記事項のいずれかに該当する場合は除くものとする詳細については個人情報の利用及び提供に関する手順 (YPM-P210) に別途定めるものとする (1)4.4.2.4 の (1)~(6) に示す事項又はそれと同等以上の内容の事項を明示または通知し既に本人の同意を得ているとき (2) 個人情報の取扱いの全部又は一部を委託された場合であって当該個人情報をその利用目的の達成に必要な範囲内で取り扱うとき (3) 合併その他の事由による事業の承継に伴って個人情報が提供され個人情報を提供する事業者が既に 4.4.2.4 の (1)~(6) に示す事項又はそれと同等以上の内容の事項を明示又は通知し本人の同意を得ている場合であって承継前の利用目的の範囲内で当該個人情報を取り扱うとき 20/33

PMSマニュアル (4) 個人情報が特定の者との間で共同利用され共同利用者が既に 4.4.2.4 の (1)~(6) に示す事項又はそれと同等以上の内容の事項を明示又は通知し本人の同意を得ている場合であって下記事項又はそれと同等以上の内容の事項をあらかじめ本人に通知し又は本人が容易に知り得る状態に置いているとき 1 共同して利用すること 2 共同して利用される個人情報の項目 3 共同して利用する者の範囲 4 共同して利用する者の利用目的 5 共同して利用する個人情報の管理について責任を有する者の氏名又は名称 6 取得方法 (5)4.4.2.5 の (4) に該当するため利用目的等を本人に明示通知又は公表することなく取得した個人情報を利用して本人にアクセスするとき (6)4.4.2.6 の (1)~(4) のいずれかに該当する場合なおただし書き (1)~(6) を適用する場合には事前に運用管理担当へ承認を得ることとするただし書き (2) を適用する場合には委託元が個人情報保護法及びガイドライン等に沿って適切に個人情報を取り扱っているか確認するものとするただし書き (4) を適用する場合には本人が容易に知り得る状態として当社 HPへ掲載するものとする 4.4.2.8 提供に関する措置当社は個人情報を第三者に提供する場合には運用管理担当の承認を得るものとするまたあらかじめ本人に対して取得方法及び 4.4.2.4 の (1)~(4) の事項又はそれと同等以上の内容の事項を通知し本人の同意を得るものとするただし下記事項のいずれかに該当する場合は除くものとする詳細については個人情報の利用及び提供に関する手順 (YPM-P210) に別途定めるものとする (1)4.4.2.4 又は 4.4.2.7 の規定によって既に 4.4.2.4 の (1)~(4) の事項又はそれと同等以上の内容の事項を本人に明示又は通知し本人の同意を得ているとき (2) 大量の個人情報を広く一般に提供するため本人の同意を得ることが困難な場合であって下記事項又はそれと同等以上の内容の事項をあらかじめ本人に通知し又はそれに代わる同等の措置を講じているとき 1 第三者への提供を利用目的とすること 2 第三者に提供される個人情報の項目 3 第三者への提供の手段又は方法 21/33

PMSマニュアル 4 本人の求めに応じて本人が識別される個人情報の第三者への提供を停止すること 5 取得方法 (3) 法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であってかつ法令に基づき又は本人若しくは当該法人その他の団体自らによって公開又は公表された情報を提供する場合であって前項 (2) で示す事項又はそれと同等以上の内容の事項をあらかじめ本人に通知し又は本人が容易に知り得る状態に置いているとき (4) 特定した利用目的の達成に必要な範囲内において個人情報の取扱いの全部又は一部を委託するとき (5) 合併その他の事由による事業の承継に伴って個人情報を提供する場合であって承継前の利用目的の範囲内で当該個人情報を取り扱うとき (6) 個人情報を特定の者との間で共同して利用する場合であって下記事項又はそれと同等以上の内容の事項をあらかじめ本人に通知し又は本人が容易に知り得る状態に置いているとき 1 共同して利用すること 2 共同して利用される個人情報の項目 3 共同して利用する者の範囲 4 共同して利用する者の利用目的 5 共同して利用する個人情報の管理について責任を有する者の氏名又は名称 6 取得方法 (7)4.4.2.6 の (1)~(4) のいずれかに該当する場合なおただし書き (2)~(3) は適用しないものとするただし書き (4)~(7) を適用する場合には事前に運用管理担当へ承認を得ることとするただし書き (6) を適用する場合には本人が容易に知り得る状態として当社 HPへ掲載するものとする 4.4.3 適正管理 4.4.3.1 正確性の確保当社は利用目的の達成に必要な範囲内において個人情報を正確かつ最新の状態で管理するものとする詳細については個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする 22/33

PMSマニュアル 4.4.3.2 安全管理措置当社はその取り扱う個人情報のリスクに応じて漏えい滅失又はき損の防止その他の個人情報の安全管理のために必要かつ適切な措置を講じるものとする詳細については個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする 4.4.3.3 従業者の監督当社はその従業者に個人情報を取り扱わせるにあたっては当該個人情報の安全管理が図られるよう当該従業者に対し必要かつ適切な監督を行うものとする詳細については個人情報の委託に関する手順 (YPM-P230) に別途定めるものとする 4.4.3.4 委託先の監督当社は個人情報の取扱いの全部又は一部を委託する場合十分な個人情報の保護水準を満たしている委託先を選定するために委託先の選定基準を確立するものとする委託先に対しては委託する個人情報の安全管理が図られるよう必要かつ適切な監督を行うものとするまた契約によって下記事項を規定し十分な個人情報の保護水準を担保するとともに当該契約書等の書面を少なくとも個人情報の保有期間にわたって保存するものとする詳細については個人情報の委託に関する手順 (YPM-P230) に別途定めるものとする (1) 委託者及び受託者の責任の明確化 (2) 個人情報の安全管理に関する事項 (3) 再委託に関する事項 (4) 個人情報の取扱状況に関する委託者への報告の内容及び頻度 (5) 契約内容が遵守されていることを委託者が確認できる事項 (6) 契約内容が遵守されなかった場合の措置 (7) 事件事故が発生した場合の報告連絡に関する事項 4.4.4 個人情報に関する本人の権利 4.4.4.1 個人情報に関する権利当社は電子計算機を用いて検索することができるように体系的に構成した情報の集合物又は一定の規則に従って整理分類し目次索引符号等を付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報であって当社が本人から求められる開示内容の訂正追加又は削除利用の停止消去及び第三者への提供の停止の求めのすべてに応じることができる権限を有するもの ( 以下 4.4.4 において開示対象個人情報とする ) に関して本人から利用目的の通知開示内容の訂正追加又は削除利用 23/33

PMSマニュアルの停止消去及び第三者への提供の停止 ( 以下開示等とする ) を求められた場合は 4.4.4.4 ~4.4.4.7 の規定によって遅滞なく応じるものとするただし下記事項に該当する場合は開示対象個人情報ではないので除くものとする詳細については個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする (1) 当該個人情報の存否が明らかになることによって本人又は第三者の生命身体又は財産に危害が及ぶおそれのあるもの (2) 当該個人情報の存否が明らかになることによって違法又は不当な行為を助長し又は誘発するおそれのあるもの (3) 当該個人情報の存否が明らかになることによって国の安全が害されるおそれ他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの (4) 当該個人情報の存否が明らかになることによって犯罪の予防鎮圧又は捜査その他の公共の安全と秩序維持に支障が及ぶおそれのあるものなおただし書きを適用する場合には個人情報保護管理者の承認を得るものとする 4.4.4.2 開示等の求めに応じる手続当社は開示等の求めに応じる手続として下記事項を定めるものとし本人に対して過重な負担とならないよう配慮するものとする詳細については個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする (1) 開示等の求めの申し出先 (2) 開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式 (3) 開示等の求めをする者が本人又は代理人であることの確認の方法 (4)4.4.4.4 又は 4.4.4.5 による場合の手数料 ( 定めた場合に限る ) の徴収方法手数料を徴収する場合実費を勘案して合理的な範囲内にてその額を定めること 4.4.4.3 開示対象個人情報に関する事項の周知など当社は取得した個人情報が開示対象個人情報に該当する場合は当該開示対象個人情報に関し下記事項を本人の知り得る状態 ( 本人の求めに応じて遅滞なく回答する場合を含む ) に置くものとする詳細については個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする (1) 事業者の氏名又は名称 (2) 個人情報保護管理者 ( 若しくはその代理人 ) の氏名又は職名所属及び連絡先 (3) 全ての開示対象個人情報の利用目的 4.4.2.5 の (1)~(3) 迄に該当する場合を除く 24/33

PMSマニュアル (4) 開示対象個人情報の取扱いに関する苦情の申し出先 (5) 認定個人情報保護団体の名称及び苦情の解決の申し出先当社の認定個人情報保護団体は一般財団法人日本情報経済社会推進協会 (JIPDEC) 殿となる (6)4.4.4.2 によって定めた手続 4.4.4.4 開示対象個人情報の利用目的の通知当社は本人から当該本人が識別される開示対象個人情報について利用目的の通知を求められた場合には遅滞なく応じるものとするただし 4.4.2.5 の (1)~(3) のいずれかに該当する場合又は 4.4.4.3 の (3) によって当該本人が識別される開示対象個人情報の利用目的が明らかな場合は利用目的の通知を必要としないがそのときは本人に遅滞なくその旨を通知するとともに理由を説明するものとするなおただし書きを適用する場合には個人情報保護管理者の承認を得るものとする詳細については個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする 4.4.4.5 開示対象個人情報の開示当社は本人から当該本人が識別される開示対象個人情報の開示 ( 当該本人が識別される開示対象個人情報が存在しない時にその旨を知らせることを含む ) を求められた時は法令の規定によって特別の手続が定められている場合を除き本人に対し遅滞なく当該開示対象個人情報を書面 ( 開示の求めを行った者が同意した方法がある時は当該方法 ) によって開示するものとするただし開示することによって下記事項のいずれかに該当する場合はその全部又は一部を開示する必要はないが本人に遅滞なくその旨を通知するとともに理由を説明するものとする詳細については個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする (1) 本人又は第三者の生命身体財産その他の権利利益を害するおそれがある場合 (2) 当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合 (3) 法令に違反することとなる場合なおただし書きを適用する場合には個人情報保護管理者の承認を得るものとする 4.4.4.6 開示対象個人情報の訂正追加又は削除当社は本人から当該本人が識別される開示対象個人情報の内容が事実でないという理由によって当該開示対象個人情報の訂正追加又は削除 ( 以下この項において訂正等とする ) を求められた場合法令の規定により特別の手続が定められている場合を除き利用目的の達成に必要な範囲内において遅滞なく必要な調査を行いその結果に基づいて当該開示対象個人情報の 25/33

PMSマニュアル訂正等を行うものとするまた訂正等を行った時はその旨及びその内容を本人に対し遅滞なく通知し訂正等を行わない旨の決定をした時はその旨及びその理由を本人に対し遅滞なく通知するものとする詳細については個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする 4.4.4.7 開示対象個人情報の利用又は提供の拒否権当社は本人から当該本人が識別される開示対象個人情報の利用の停止消去又は第三者への提供の停止 ( 以下この項において利用停止等とする ) を求められた場合は応じるとともに措置を講じた後は遅滞なくその旨を本人に通知するものとするただし 4.4.4.5 の (1)~(3) のいずれかに該当する場合は利用停止等を行う必要はないがそのときは本人に遅滞なくその旨を通知するとともに理由を説明するものとするなおただし書きを適用する場合には個人情報保護管理者の承認を得るものとする詳細については個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする 4.4.5 教育当社は全従業員に対して年 1 回以上適切な教育を行うとともに関連する各部門及び階層において下記事項を理解させる手順を確立し維持するものとするまた教育の計画及び実施結果の報告及びそのレビュー計画の見直し並びにこれらに伴う記録の保持に関する責任及び権限を定める手順を確立し実施しかつ維持するものとする詳細については個人情報保護教育手順 (YPM-P300) に別途定めるものとする (1)PMSに適合することの重要性及び利点 (2)PMSに適合するための役割及び責任 (3)PMSに違反した際に予想される結果 4.4.6 PMS 文書 4.4.6.1 文書の範囲当社は PMSの基本となる下記事項を書面で記述するものとする (1) 個人情報保護方針 (2) 内部規程 (3) 計画書 (4)JIS Q 15001:2006 が要求する記録及び当社がPMSを実施する上で必要と判断した記録 26/33

PMSマニュアル 4.4.6.2 文書管理当社は JIS Q 15001:2006 が要求する全ての文書 ( 記録を除く ) を管理する手順を確立し実施しかつ維持するものとする文書管理の手順には下記事項を含むものとし詳細については個人情報保護文書管理手順 (YPM-P800) を別途定めるものとする (1) 文書の発行及び改訂に関すること (2) 文書の改訂の内容と版数との関連付けを明確にすること (3) 必要な文書が必要な時に容易に参照できること 4.4.6.3 記録の管理当社は PMS 及び JIS Q 15001:2006 の要求事項への適合を実証するために必要な下記の記録を作成しかつ維持するものとするまた記録の管理についての手順を確立実施しかつ維持するものとする詳細については個人情報保護記録管理手順 (YPM-P800) を別途定めるものとする (1) 個人の特定に関する記録 (2) 法令国が定める指針及びその他の規範の特定に関する記録 (3) 個人情報のリスクの認識分析及び対策に関する記録 (4) 計画書 (5) 利用目的の特定に関する記録 (6) 開示対象個人情報に関する開示等 ( 利用目的の通知開示内容の訂正追加又は削除利用の停止又は消去第三者提供の停止 ) の求めへの対応記録 (7) 教育実施記録 (8) 苦情及び相談への対応記録 (9) 運用の確認の記録 (10) 監査報告書 (11) 是正処置及び予防処置の記録 (12) 代表者による見直しの記録 4.4.7 苦情及び相談への対応当社は個人情報の取扱い及びPMSに関して本人からの苦情及び相談を受け付けて適切かつ迅速な対応を行う手順を確立しかつ維持するものとするまた上記の目的を達成するために必要な体制の整備を行うものとする詳細については個人情報の開示等に関する手順 (YPM-P220) に別途定めるものとする 27/33

PMS マニュアル Plan- 計画 (PMS の確立 ) 7 つのフェーズを実施 4.4.1 運用手順の明確化 4.4.2 取得利用及び提供に関する原則 Do- 実施 (PMS の導入及び運用 ) 4.4.3 適正管理 4.4.4 個人情報に関する本人の権利 Check- 点検 (PMS の点検 ) 4.4.5 教育 4.4.6 PMS 文書 Act- 処置 (PMS の見直し ) 4.4.7 苦情及び相談への対応図 5:PMSの導入及び運用の手順 4.5 PMSの点検当社は表 1よりPMSを点検するにあたり図 6に示す2つのフェーズを実施する 4.5 項における参照文書一覧個人情報保護安全対策管理手順個人情報保護監査手順 4.5.1 運用の確認当社は PMSが適切に運用されていることが当社の各部門及び階層において定期的に確認されるための手順を確立し実施しかつ維持するものとする詳細については個人情報保護安全対策管理手順 (YPM-P600) に別途定めるものとする 28/33

PMSマニュアル 4.5.2 監査当社は PMSの JIS Q 15001:2006 への適合状況及びPMSの運用状況を年 1 回以上監査するものとする社長は公平かつ客観的な立場にある個人情報保護監査責任者を当社の内部の者から指名し監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与え業務を行わせるものとする個人情報保護監査責任者は監査を指揮し監査報告書を作成し社長に報告するとともに監査人の選定及び監査の実施においては監査の客観性及び公平性を確保するものとする当社は監査の計画及び実施結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順を確立し実施しかつ維持するものとする詳細については個人情報保護監査手順 (YPM-P400) に別途定めるものとする Plan- 計画 (PMS の確立 ) Do- 実施 (PMS の導入および運用 ) Check- 点検 (PMS の点検 ) 4.5.1 運用の確認 2 つのフェーズを実施 4.5.2 監査 Act- 処置 (PMS の見直し ) 図 6:PMS の点検の手順 29/33

PMSマニュアル 4.6 PMSの見直し当社は表 1よりPMSを見直しするにあたり図 7に示す2つのフェーズを実施する 4.6 項における参照文書一覧個人情報保護是正予防処置手順個人情報保護組織管理手順 4.6.1 是正処置及び予防処置当社は不適合に対する是正処置及び予防処置を確実に実施するために下記事項を含む責任及び権限を定めた手順を確立し実施しかつ維持するものとする是正処置及び予防処置の対象とする不適合は点検の結果緊急事態の発生外部機関の指摘苦情等とする詳細については個人情報保護是正予防処置手順 (YPM-P700) に別途定めるものとする (1) 不適合の内容を確認する (2) 不適合の原因を特定し是正処置及び予防処置を立案する (3) 期限を定め立案された処置を実施する (4) 実施された是正処置及び予防処置の結果を記録する (5) 実施された是正処置及び予防処置の有効性をレビューする本レビューは 4.6.2 社長による見直しにて実施 4.6.2 社長による見直し社長は個人情報の適切な保護を維持するために下記事項を考慮し定期的にPMSを見直すものとするこの見直しは年 1 回以上のマネジメントレビューの開催を基本とする ( 通常 5 月 ) 詳細については個人情報保護組織管理手順 (YPM-P100) に別途定めるものとする (1) 監査及びPMSの運用状況に関する報告 (2) 苦情を含む外部からの意見 (3) 前回までの見直しの結果に対するフォローアップ (4) 個人情報の取扱いに関する法令国の定める指針その他の規範の改正状況 (5) 社会情勢の変化国民の認識の変化技術の進歩等の諸環境の変化 (6) 当社の事業領域の変化 (7) 内外から寄せられた改善のための提案 30/33

PMS マニュアル 4.7 罰則内部規定に違反した従業員に対して就業規則に基づき懲戒を行う Plan- 計画 (PMS の確立 ) Do- 実施 (PMS の導入及び運用 ) Check- 点検 (PMS の点検 ) 2 つのフェーズを実施 Act- 処置 (PMS の見直し ) 4.6.1 是正処置及び予防処置 4.6.2 社長による見直し図 7:PMS の見直しの手順 31/33

PMS マニュアル解説 < 解説目次 > 解説 1. 組織概念図解説 2. 個人情報保護組織体制図解説 3. 主な情報収集機構付録 A. JIS Q 15001 と部署 ( 機能 ) とのマトリックス付録 B. 法的要求事項確認書付録 C. 組織概念図 32/33

PMS マニュアル解説 1 組織概念図当社の組織概念図は組織概念図 ( 付録 C) に別途定めるものとする解説 2 個人情報保護組織体制図当社の個人情報保護組織体制図は個人情報保護組織管理手順に別途定めるものとする解説 3 主な情報収集機構経済産業省殿 http://www.meti.go.jp/ 厚生労働省殿 http://www.mhlw.go.jp/ 内閣官房情報セキュリティセンター殿 (NISC) http://www.nisc.go.jp/itso/ @police 殿 http://www.cyberpolice.go.jp/ 一般財団法人日本情報経済社会推進協会殿 (JIPDEC) http://www.jipdec.or.jp/ 一般社団法人情報サービス産業協会殿 (JISA) http://www.jisa.or.jp/ 独立行政法人情報処理推進機構殿 (IPA) http://www.ipa.go.jp/ JPCERT/CC 殿 http://www.jpcert.or.jp/ 個人情報保護委員会殿 http://www.ppc.go.jp/ 33/33

PMSマニュアルの変更履歴前版からの変更点は以下の通りである版数 ( 新 ) 頁変更内容備考 2.5 13,14 4.3.3 個人情報の特定に特定個人情報を追記 4.3.5 リスクなどの認識分析及び対策特定個人情報を追記 2.5 7,33 組織名称変更特定個人情報保護委員会個人情報保護委員会