
プライバシーマーク(個人情報保護)
プライバシーマーク(JIS Q 15001:2017)移行支援についてはこちらをご覧ください。
プライバシーマーク(個人情報保護マネジメントシステム)
個人情報流出事件、個人情報保護法の改正、マイナンバーの利用拡大等、個人情報保護に対する関心が非常に高まっています。電子データ化された個人情報は流出の危険性が高く、加工・編集も容易で、いったん流出すると回収はほぼ不可能です。個人情報の保護は、いまや企業の社会的責任となり、企業の存続をも脅かしかねない重大な関心事になりつつあります。
プライバシーマークとは
プライバシーマーク制度は、一般財団法人日本情報経済社会推進協会(JIPDEC)が、JISQ15001規格(個人情報保護マネジメントシステム-要求事項)に準拠したプライバシーマーク付与適格性審査基準に基づいて、民間事業者の個人情報保護に関する管理体制を審査し、準拠していると認定された事業者に対してその証しとして、プライバシーマークの使用を認める制度です。
プライバシーマーク制度は、第三者が個人情報保護法の順守する個人情報保護マネジメントシステム(PMS)が構築・運用、維持・改善されいるか客観的に評価する制度であり、個人情報保護法への適合性はもちろんのこと、自主的により高い保護レベルのPMSを確立し、運用していることをアピールすることができます。
個人情報保護マネジメントシステム(PMS)
個人情報保護マネジメントシステム(PMS)とは、「Plan(計画)、Do(実施)、Check(点検)、Act(処置)」というPDCAサイクルを継続的に実行することにより、組織が目標を達成するしくみのことです。このPDCAサイクルを回すことによって継続的改善を果たすことを目的に要求事項は構成されています。
JISQ15001規格ではISO9001(品質マネジメントシステム)やISO14001(環境マネジメントシステム)といった、他のマネジメントシステムと共通した考え方を取り入れています。

プライバシーマーク取得までの流れ
ステップ | 項 目 | 概 要 | |
---|---|---|---|
第1段階 | 1 | 規格要求事項解説・リスク調査 | ・JISQ15001規格要求事項の理解 ・個人情報の特定 ・リスクアセスメント(リスクの識別・分析) ・リスク対策の決定 ・残留リスク管理の決定 |
2 | マネジメントシステム構築 | ・個人情報保護運営体制の整備 ・個人情報保護方針の設定 ・個人情報保護マニュアルの作成 ・各種規程文書の作成、整備 ・個人情報に関する相談窓口の設置 |
|
第2段階 | 3 | マネジメントシステム運用 | ・従業員教育 ・内部監査員養成 ・内部監査 ・記録の整備 ・マネジメントレビュー ・是正処置、システム改善 |
4 | 審査対応 | ・審査申請 ・文書審査 ・現地審査 ・是正処置・改善報告 |
テクノソフトの取得支援の特徴
- 業態に合った適切な個人情報の取扱いができる体制作りを目指します。
- 個人情報の取扱いに関連するリスクアセスメントをどのように実施すれば良いか、また業態に合った運営体制確立に向けてのアドバイスを行ないます。
- 個人情報を業務上活用することを前提とした、取扱い要領・ルール等を明確にした上で、他のマネジメントシステム(ISO9001/14001/27001等)と整合した効率的なマネジメントシステムの確立を目指すアドバイスを行ないます。
- 主だった規程文書類は参考としてサンプル文書を活用し、作業の負荷軽減を図るとともに、無理・無駄のないマネジメントシステムの構築を支援いたします。
プライバシーマーク付与適格性審査基準と個人情報保護法との比較
プライバシーマーク付与適格性審査基準(審査基準)は、個人情報保護法のの規定する事項と、それを運用管理するマネジメントシステムに関する仕組みについて要求されています。ただし、個人情報保護法の以外に条例や関連するガイドラインなどすべての事項を網羅しているわけではないため、PMSの構築では審査基準が要求していない法令や規範も考慮する必要があります。
プライバシーマーク付与適格性審査基準 | 個人情報保護法 | |
---|---|---|
A.3.1 一般 | A.3.1.1 一般 | - |
A.3.2 個人情報保護方針 | A.3.2.1 内部向け個人情報保護方針 | - |
A.3.2.2 外部向け個人情報保護方針 | - | |
A.3.3 計画 | A.3.3.1 個人情報の特定 |
- |
A.3.3.3 法令、国が定める指針その他の規範 |
- | |
A.3.3.3 リスクアセスメント及びリスク対策 |
第20条(安全管理措置) |
|
第21条(従業者の監督) | ||
第22条(委託先の監督) | ||
A.3.3.4 資源、役割、責任及び権限 |
- | |
A.3.3.5 内部規程 |
- | |
A.3.3.6 計画策定 |
- | |
A.3.3.7 緊急事態への準備 |
- | |
A.3.4 実施及び運用 | A.3.4.1 運用手順 |
- |
A.3.4.2 取得、利用及び提供に関する原則 | A.3.4.2.1 利用目的の特定 |
第15条(利用目的の特定) |
第16条(利用目的による制限) | ||
A.3.4.2.2 適正な取得 |
第17条(適正な取得) | |
A.3.4.2.3 要配慮個人情報 |
第2条(定義) |
|
第17条(適正な取得) | ||
第18条(取得に際しての利用目的の通知等) | ||
第23条(第三者提供の制限) | ||
A.3.4.2.4 個人情報を取得した場合の措置 |
第18条(取得に際しての利用目的の通知等) | |
A.3.4.2.5 A.3.4.2.4のうち本人から直接書面によって取得する場合の措置 |
第18条(取得に際しての利用目的の通知等) | |
A.3.4.2.6 利用に関する措置 |
第15条(利用目的の特定) |
|
第16条(利用目的による制限) | ||
A.3.4.2.7 本人に連絡又は接触する場合の措置 |
第16条(利用目的による制限) | |
A.3.4.2.8 個人データの提供に関する措置 |
第23条(第三者提供の制限) | |
A.3.4.2.8.1 外国にある第三者への提供の制限 |
第24条(外国にある第三者への提供の制限) | |
A.3.4.2.8.2 第三者提供に係る記録の作成など |
第25条(第三者提供に係る記録の作成等) | |
A.3.4.2.8.3 第三者提供を受ける際の確認など |
第26条(第三者提供を受ける際の確認等) | |
A.3.4.2.9 匿名加工情報 |
第36条(匿名加工情報の作成等) |
|
第37条(匿名加工情報の提供) | ||
第38条(識別行為の禁止) | ||
第39条(安全管理措置等) | ||
A.3.4.3 適正管理 | A.3.4.3.1 正確性の確保 |
第19条(データ内容の正確性の確保等) |
A.3.4.3.2 安全管理措置 |
第20条(安全管理措置) | |
A.3.4.3.3 従業者の監督 |
第21条(従業者の監督) | |
A.3.4.3.4 委託先の監督 |
第22条(委託先の監督) | |
A.3.4.4 個人情報に関する本人の権利 | A.3.4.4.1 個人情報に関する権利 |
第2条(定義) |
第28条(開示) | ||
A.3.4.4.2 開示等の請求等に応じる手続 |
第32条(開示等の請求等に応じる手続) |
|
第33条(手数料) | ||
A.3.4.4.3 保有個人データに関する事項の周知など |
第27条(保有個人データに関する事項の公表等) |
|
第47条(認定) | ||
A.3.4.4.4 保有個人データの利用目的の通知 |
第27条(保有個人データに関する事項の公表等) |
|
第31条(理由の説明) | ||
第32条(開示等の請求等に応じる手続) | ||
A.3.4.4.5 保有個人データの開示 |
第28条(開示) |
|
第31条(理由の説明) | ||
第32条(開示等の請求等に応じる手続) | ||
A.3.4.4.6 保有個人データの訂正、追加又は削除 |
第29条(訂正等) |
|
第31条(理由の説明) | ||
第32条(開示等の請求等に応じる手続) | ||
A.3.4.4.7 保有個人データの利用又は提供の拒否権 |
第30条(利用停止等) |
|
第31条(理由の説明) | ||
第32条(開示等の請求等に応じる手続) | ||
A.3.4.5 認識 | - | |
A.3.5 文書化した情報 | A.3.5.1 文書化した情報の範囲 | - |
A.3.5.2 文書化した情報(記録を除く。)の管理 | - | |
A.3.5.3 文書化した情報のうち記録の管理 | - | |
A.3.6 苦情及び相談への対応 | 第35条(個人情報取扱事業者による苦情の処理) |
|
第47条(認定) | ||
第53条(苦情の処理) | ||
A.3.7 パフォーマンス評価 | A.3.7.1 運用の確認 | - |
A.3.7.2 内部監査 | - | |
A.3.7.3 マネジメントレビュー | - | |
A.3.8 是正処置 | - |
