プライバシーマーク(Pマーク)とは?PMS導入・構築の全手順をわかりやすく紹介
最終更新日:2025/11/13
現代のビジネス環境において、個人情報の保護は企業が果たすべき社会的責任の中でも特に重要な位置を占めています。
顧客情報や従業員情報など、日々取り扱う「個人情報」は、企業にとって貴重な資産であると同時に、ひとたび漏えいなどの事故が発生すれば、企業の信頼を大きく損ない、事業活動に深刻なダメージを与えかねません。
特にネットワーク技術が発展した現代社会では、そのリスクはますます高まっています。
こうした背景から、個人情報を適切に取り扱っていることを証明するため、多くの企業が注目しているのが「プライバシーマーク」制度です。
プライバシーマークとは、「Pマーク」とも呼ばれていますので、ここでは「Pマーク」という言い方で説明を進めさせていただきます。
今回は、このPマークの基本的な概要から、その取得に不可欠なPMSと略称される「個人情報保護マネジメントシステム」とは何か、そして、具体的にどのように導入・構築していくのか、そのステップを紹介していきます。
Pマークとは?
Pマークが求められる背景
先ほども触れましたが、デジタル化の進展により、個人情報の漏えいリスクはかつてないほど高まっています。
2005年に個人情報保護法が施行されて以来、社会全体の個人情報保護に対する意識は格段に向上しました。
消費者はもちろん、取引先企業も、自社の情報を預ける相手が信頼できるかどうかを厳しく見ています。
このような状況下で、自社が「個人情報を大切に扱っている」ことを客観的に証明する必要性が生まれ、Pマーク制度が活用されるようになったのです。
Pマーク制度の概要
Pマークとは、個人情報を適切に取り扱っていると評価された事業者が使用できる、信頼のマークです。
この審査は、JIPDECと呼ばれる日本情報経済社会推進協会、または、その指定審査機関によって行われます。
審査では、事業者が「JIS Q 15001」という規格に準拠した個人情報保護の仕組みである「個人情報保護マネジメントシステム」を構築し、適切に運用しているかが確認されます。
このマークを取得し、掲示することで、消費者や取引先に対して、個人情報保護への高い意識と体制が整っていることをアピールすることができます。
Pマーク取得のメリット
Pマークを取得することには、多くのメリットがあります。
まず対外的なメリットとして、お客様や取引先からの「信頼性の向上」が挙げられます。
第三者機関による客観的な評価は、自社が「信頼できるパートナー」であることの強力な証明となり、ビジネス上の優位性を高めることにつながります。
特に、BtoCビジネスや、大量の個人情報を扱うBtoBビジネスにおいて、その効果は大きいでしょう。
また、対内的なメリットとしては、従業員の個人情報保護に対する意識が向上することが挙げられます。
個人情報保護マネジメントシステムの構築・運用プロセスを通じて、全従業者が個人情報のリスクや正しい取り扱い方法を学ぶため、社内全体のセキュリティリテラシーが底上げされます。
Pマーク取得の対象と要件
Pマーク付与の対象は、国内に活動拠点を持つ事業者です。
これは法人単位での取得が基本となります。
取得のための主な要件は、先ほども出た「JIS Q 15001」に準拠した適切な個人情報保護マネジメントシステムを構築し、それを運用していることです。
申請前に、少なくとも1サイクル以上の個人情報保護マネジメントシステムの計画、実施、点検、改善などの運用実績が必要とされています。
Pマークの有効期間と更新
Pマークは一度取得したら終わり、というわけではありません。
有効期間は2年間と定められています。
継続してマークを使用するためには、2年ごとに更新審査を受ける必要があります。
これは、社会情勢や法令の変化に対応し、個人情報保護マネジメントシステムが継続的に維持や改善がされていることを確認するためです。
PMSとは?
PMSの基本的な考え方
まず、はじめに、PMSとは、先ほどから紹介している「個人情報保護マネジメントシステム」の略称となります。
以降の説明では、「個人情報保護マネジメントシステム」を「PMS」という言い方で説明を進めさせていただきます。
さて、Pマーク取得の鍵となる「PMS」とは一体何でしょうか。
PMSとは、事業者が自社の個人情報を適切に取り扱うために整備する「仕組み」や「ルール」、そして、それを運用するための「体制」全体を指します。
難しく考える必要はありません。
要は、個人情報を守るための社内ルールブックを作り、それをみんなで守り、本当に守れているか定期的にチェックし、問題があれば改善していく、という一連の活動のことです。
PMSとPDCAサイクル
PMSの運用において非常に重要な考え方が、ご存知の方も多い「PDCAサイクル」です。
計画という意味の「Plan」
まず、自社がどのような個人情報を持ち、どのようなリスクがあるかを把握し、それに対応するためのルールや計画を立てます。
実施という意味の「Do」
立てた計画やルールに基づき、実際に業務を行います。
従業員への教育などもここに含まれます。
点検という意味の「Check」
ルール通りに運用されているか、問題は起きていないかを定期的にチェックします。
内部監査などがこれにあたります。
改善という意味の「Act」
点検で見つかった問題点や課題を改善し、次回の計画(P)に反映させます。
このPDCAサイクルを継続的にグルグルと回し続けることで、PMSは常に最新の状態に保たれ、その実効性が高まっていきます。
PMS運用がもたらす効果
PMSを適切に構築し、運用することの効果は絶大です。
単にPマークが取得できるというだけではありません。
まず、個人情報の取り扱いに関するリスクを事前に予測し、「事故の予防・抑制」ができるようになります。
万が一、事故が発生してしまった場合でも、あらかじめルールが整備されているため、「早期発見」や「事故後の迅速な対応」が可能となり、損害を最小限に抑えることにつながります。
これは、企業のリスクマネジメントとして非常に強力な武器となります。
PMS導入・構築の7つのステップ
ここからは、実際にPMSを導入し、構築していくための具体的な流れを、7つのステップに分けてご紹介します。
全体像を掴んでいただくことで、各プロセスがどのように連動しているかが見えてくるはずです。
ステップその1、「体制の整備」
何よりもまず、PMSを推進するための「チーム」を作ります。
誰が責任者で、誰が何を担当するのか、組織体制を明確に整備します。
ステップその2、「ルールの作成」
次に、個人情報を取り扱うための「社内ルール」を作成します。
これには基本方針の策定から、具体的な手順書の作成まで含まれます。
ステップその3、「教育」
作成したルールを、従業員全員に知ってもらい、理解してもらうための「教育」を実施します。
ステップその4、「運用」
いよいよ、作成したルールに基づいて、実際の業務を「運用」していきます。
そして、その運用状況を「記録」に残します。
ステップその5、「点検」
ルール通りに運用されているか、問題がないかを「点検」します。
これには日々のチェックと、定期的な内部監査があります。
ステップその6、「マネジメントレビュー」
代表者などのトップマネジメント層が、運用状況や監査結果の報告を受け、PMS全体がうまく機能しているかを「見直し」を行います。
ステップその7、「是正処置」
点検や見直しで見つかった問題点、不適合な事項を「改善」し、再発防止の処置を行います。
これら7つのステップが、先ほど紹介したPDCAサイクルに対応しているのがお分かりいただけるかと思います。
ステップ1:導入の第一歩である「体制の整備」
なぜ体制整備が最初なのか
PMSは、特定の担当者だけが頑張れば良いというものではありません。
全社的に取り組む必要があります。
そのためには、まず「誰が」、「どのような責任と権限を持つのか」を明確にする組織体制の整備が不可欠です。
これが曖昧なままでは、ルールを作っても実行されず、絵に描いた餅になってしまいます。
任命すべき3つの重要な役割
PMSの体制において、特に重要となる3つの役割があります。
これらは代表者などのトップマネジメント層が正式に任命する必要があります。
トップマネジメント
トップマネジメントとは、社長や取締役など、事業者を最高位で指揮・管理する人です。
PMS構築・運用の最終的な責任を持ち、方針を定め、人、モノ、カネなどの必要なリソースを提供し、PMS全体を見直す役割を担います。
個人情報保護管理者
個人情報保護管理者とは、トップマネジメントによって任命され、PMSの計画から実施、運用までを統括・管理する現場の最高責任者です。
いわば、PMS推進のリーダー役となります。
各部門と連携し、ルール作成や教育、点検活動の中心となります。
個人情報保護監査責任者
こちらもトップマネジメントによって任命されます。
個人情報保護監査責任者とは、PMSがルール通りに、かつ効果的に運用されているかを、客観的な立場で「監査」するチームの責任者です。
監査計画を立て、監査を実施し、その結果をトップマネジメントに報告します。
体制整備における注意点
ここで一つ、非常に重要な注意点があります。
それは「兼務の禁止」です。
監査は客観的でなければ意味がありません。
そのため、監査する側とされる側が同じ人物であってはなりません。
具体的には、トップマネジメントと監査責任者の兼務はできません。
また、個人情報保護管理者と監査責任者の兼務もできません。
例えば、個人情報保護管理者が自分で作ったルールや運用を、自分で監査する、というのは客観性に欠けますよね。
これらの役割を中心に、必要に応じて監査担当者や教育担当者などを任命し、PMSを推進するためのしっかりとした体制を整えることが、成功の第一歩となります。
ステップ2:PMSの核となる「ルールの作成」
体制が整ったら、次はいよいよPMSの核となる「ルール」を作成していきます。
このルール作成は、大きく4つのフェーズに分けて進めるとスムーズです。
「個人情報保護方針の策定」というフェーズ
まずはじめに、事業者として個人情報保護にどのように取り組むか、という「理念」や「姿勢」を内外に示す「個人情報保護方針」を策定します。
これはPMSの最上位に来る文書であり、すべてのルールの基礎となります。
この方針は、従業員や取引先など利害関係者へ周知することはもちろん、会社のホームページへの掲載などのような方法で「一般の人が見られる形での公表する」ことが必要です。
どのような内容を盛り込むべきかについては、日本情報経済社会推進協会が公開している「構築運用指針」などで確認することができます。
「関係法令などの特定」というフェーズ
次に、自社の事業に関連する個人情報保護の「法律」や「ガイドライン」などを特定し、リストアップして文書化します。
基本となる「個人情報保護法」はもちろんのこと、医療や金融などの業種によっては、特別な業界ガイドラインがある場合もあります。
これらの法令は改正されることも多いため、常に所管官庁のウェブサイトを確認するなど、最新版を参照できる手順を定めておくことが重要です。
「個人情報の特定とリスク分析」というフェーズ
ここがPMS構築における最重要ポイントと言っても過言ではありません。
自社がどのような個人情報を持ち、そこにどのような危険が潜んでいるかを把握するプロセスです。
このフェーズは非常に重要なポイントであるため、深く掘り下げてご紹介します。
「個人情報の特定」の重要ポイント
このフェーズの1つである「個人情報の特定」の重要ポイントについて、詳しく紹介します。
特定とリスク分析の目的
なぜ、個人情報の特定やリスク分析がそれほど重要なのでしょうか。
それは、Pマーク取得が、必ずしもすべての事業者にICカード管理のような高度なセキュリティを求めるものではないからです。
事業者の業務規模や状況によって、想定されるリスクは異なります。
やみくもに対策を講じるのは非効率ですし、コストもかかります。
そのため、まずは「自社がどのような個人情報を持っているか」を漏れなく洗い出し、次に、「その取り扱いにおいて、どのような危険があるか」を認識・分析することが目的なのです。
これにより、自社の実態に見合った、リスクに応じた適切な安全管理措置を講じることができ、結果として個人の権利利益を保護することにつながります。
対象となる個人情報
特定や分析の対象となるのは、「事業の用に供するもの」です。
つまり、事業で取り扱う「すべての個人情報」が対象となります。
これは、お客様の情報だけではありません。
自社で働く従業員の人事・労務管理などの情報、採用応募者の情報、取引先の担当者情報なども、すべて含まれます。
個人情報の特定手順
では、どのように個人情報を特定していけばよいのでしょうか。
一つの手順例をご紹介します。
まず、社内の「業務フローを整理」します。
どのような業務があり、どのような流れで仕事が進んでいるかを可視化するのです。
次に、その業務フローの中で「取り扱っている個人情報を洗い出し」、どこで取得し、誰が使い、どこに保管しているかなどの状況を確認します。
確認した内容は、「個人情報管理台帳」という一覧表に登録していきます。
この台帳が、PMS運用における基本データとなります。
そして、作成した台帳を、個人情報保護管理者が確認し、承認します。
この一連の流れ自体も、社内のルールとして定めておく必要があります。
特定漏れしやすい箇所の注意点
個人情報を洗い出す際、特定から漏れやすいものがありますので注意が必要です。
例えば、コールセンターの「録音データ」や、サーバーの「バックアップデータ」、名刺情報、監視カメラの映像なども個人情報として管理する必要があります。
特定の漏れを防ぐ方法としては、業務の流れに沿って洗い出す方法が有効です。
この方法は、作業負荷は大きくなる傾向がありますが、漏れは生じにくくなります。
一方で、手元にある帳票やデータから洗い出す方法は、負担は少ないですが、その時点で目に見えているものしか把握できず、特定漏れが生じやすくなるため注意が必要です。
特定を実施するタイミング
個人情報の特定は、一度やったら終わりではありません。
PMSを初めて構築するときはもちろん、新たな業務が発生したときや、既存の業務でも個人情報の取り扱い状況に変化が生じたときにも実施する必要があります。
また、変化がなくても、半年ごとや年1回など、定期的に見直しを行うことが求められます。
採用業務における個人情報の特定の具体例
ここで、A社の「採用業務」を例に、特定の流れを見てみましょう。
まず業務フローを確認します。
例えば、「説明会の案内」、「就職サイトなどで申込を受付」、「筆記試験を外部へ委託」、「面接」、「採否決定」、「入社手続き」、「不要な情報の廃棄」といった流れがあったとします。
次に、このフローに沿って、個人情報がどのように動くかを可視化します。
学生からの情報を「取得」し、委託先へその情報を「移送」、社内での情報の「利用」、不合格者情報の「廃棄」など、個人情報の流れが明確になります。
最後に、この洗い出した情報を「個人情報管理台帳」に整備します。
台帳には、氏名、住所、学歴などの「個人情報の項目」、採用選考のための「利用目的」、施錠キャビネット、アクセス制限付きサーバーなどの「保管方法」や「保管場所」、「アクセス権を持つ者」、「利用期限」や「保管期限」といった項目を記載して管理します。
この台帳を作成し、個人情報保護管理者による承認をもって、「個人情報の特定」が完了となります。
「リスク分析と対策」の重要ポイント
次に、このフェーズの1つである「リスク分析と対策」の重要ポイントについて、詳しく紹介します。
個人情報の特定が完了したら、次はその特定した個人情報を対象に、「リスクアセスメント」という評価と、「リスク対応」という対策を進めます。
リスクアセスメントとリスク対応の手順
このプロセスも、いくつかの手順に分けて進める必要があります。
【リスク基準の決定】
まず、リスクを評価するための「モノサシ」となる基準を定めます。
例えば、リスクが現実になった場合の影響度を「大・中・小」で評価するなど、誰もが判断できるよう、比較対象となる基準を決めておきます。
【リスクの特定】
次に、個人情報の取得、保管、利用、廃棄などの「取り扱い局面」ごとに、どのようなリスクがあるかを具体的に洗い出します。
「誰が」、「なぜ」、「何をする」と漏えい、法令違反、滅失や、き損などの「どのようなリスク」が顕在化するかを考えていきます。
例えば、「メール送信時に」、「担当者が」、「宛先を間違える」と「個人情報が漏えいする」といった具合です。
リスクとは「漏えい」だけでなく、「目的外利用」などの法令違反も含まれることを意識しましょう。
【責任の明確化】
その特定したリスクに対して、誰が責任を持って対応するのか、責任者も明確にしておくと、対策がスムーズに進みます。
【リスクの分析・評価】
特定したリスク一つひとつに対し、「発生する可能性や頻度」と「顕在化した時の影響の大きさ」を分析・評価し、「リスクレベル」を決定します。
【優先度の決定】
決定したリスクレベルを、最初に定めた「リスク基準」と比較し、どのリスクから優先的に対策を講じるべきか、対応の優先度を決定します。
ただし、影響が小さいと評価されたリスクであっても、何らかの対応は必要となります。
【リスク対策の策定】
既存の対策も踏まえつつ、優先度に応じて、新たなリスク対策を策定します。
どこまで対策するかは、事業者の判断によります。
その際の判断材料の一つとして、「万が一の際に、企業として説明責任を果たせるか」という視点を持つことが大切です。
【文書化と規定への反映】
分析・評価した結果は「リスク分析表」などの文書にまとめます。
そして、策定した対策は、関連規定などの内部ルールに具体的に反映させることが重要です。
例としては、「USBメモリへ格納する際は、必ずパスワード設定を行う」とルール化するなどがあります。
この基準の決定、特定、分析や評価の一連のプロセスも、ルールとして「規定化」する必要があります。
対策を策定したら、それを規定化したルールに基づき実施し、その実施記録を保持することも忘れてはいけません。
安全管理措置の4つの観点
リスク対策を策定する際は、バランスよく対策を組み合わせることが求められます。
そのために、これから紹介する「4つの観点」から検討すると良いでしょう。
【組織的安全管理措置】
これは、体制やルールを整備することによる対策です。
例えば、規定の整備、責任者の設置、運用状況の確認手順を定める、といったことが該当します。
【物理的安全管理措置】
これは、モノや場所に対する対策です。
例えば、重要な書類を保管するキャビネットや部屋の施錠管理、入退室管理、盗難防止対策などが該当します。
【技術的安全管理措置】
これは、システムやデータに対する対策です。
例えば、システムへのアクセス制限、通信の暗号化、コンピュータウイル対策ソフトの導入などが該当します。
【人的安全管理措置】
これは、人に対する対策です。
例えば、従業者への教育の実施、秘密保持に関する誓約書の提出を求める、といったことが該当します。
これら4つの観点を組み合わせることで、多層的な防御が可能になります。
採用業務におけるリスクと対策の具体例
再び、採用業務の例でリスクと対策を見てみましょう。
例えば、「取得時」のリスクとして、就職サイトの通信経路が暗号化されておらず、通信内容を盗聴される可能性が考えられます。
この場合の「技術的」対策は、SSLやTLSなどの対策がなされているサイトを利用することです。
また、「保管時」のリスクとして、自社サーバーへの不正アクセスにより、応募者情報が漏えいする可能性が考えられます。
この場合の「技術的」対策は、アクセス権限を適切に設定し、必要な人しかデータを見られないようにすることです。
紙の書類でもリスクはあります。
「取得時」に、手渡しで受け取った応募書類を紛失するリスクが考えられます。
この場合の「組織的」対策は、受領記録を作成し、可能であれば2人体制でチェックする、といったルールを定めることです。
「利用時」のリスクとしては、担当者が採用選考以外の目的で情報を利用する、といった「目的外利用」が考えられます。
この場合の「人的」対策は、誓約書の提出を求めることなどで不正行為を抑止し、教育を通じてルールを周知することです。
このように、特定した個人情報の流れに沿って、具体的なリスクと対策を検討していきます。
内部規定策定時の主要な留意点
リスク分析と対策が決まったら、それらを「内部規定」に落とし込んでいきます。
内部規定を策定する上で、特に注意すべき点をいくつか補足でご紹介します。
個人情報のライフサイクル
個人情報には、「取得」、「保管」、「利用」、「廃棄」といった一連の流れとするライフサイクルがありますが、特に、取得や利用、提供の場面では、個人情報保護法上のルールを遵守する必要があります。
このライフサイクルを理解することが、リスク対策の検討にも役立ちます。
【取得時の注意点】
個人情報を本人から取得する際は、原則として、利用目的や事業者名などを本人に「明示」し、「同意」を得てから取得します。
例えば、ECサイトの会員登録フォームには、必ず利用目的を記載し、同意のチェックボックスを設けるといった対応が必要です。
【利用時の注意点】
取得した個人情報は、取得時に定めた「利用目的」の範囲内で利用しなければなりません。
もし、取得時とは違う目的で利用したい場合、例えば、「商品発送のために取得した住所情報を、後から別事業のダイレクトメール送付に使いたい」といった場合は、再度本人にその新しい目的を通知し、「同意」を得る必要があります。
【第三者提供時の注意点】
本人以外の第三者に個人情報を提供する場合は、原則として、本人への通知と「同意」が必要です。
これは、親子会社や関係会社間であっても同様です。
また、第三者提供を行った場合、提供側・受領側ともに、いつ、誰に、どのような情報を提供、受領したか、その「記録を作成し、保管する義務」が生じますので注意が必要です。
委託先の監督
個人情報の取り扱いを外部の業者に「委託」する場合、委託元には「任せきり」にせず、その委託先を適切に「監督する義務」があります。
適切な委託先を選定するための「基準作成」、基準に基づく「選定」、「契約」の締結、そして契約後も定期的に取り扱い状況を「監督・確認」するというプロセスを定め、実施する必要があります。
各種対応手順の整備
万が一の事態や、本人からの要求に備えた手順を整備しておくことも非常に重要です。
【本人からの要求】
「自分の情報を開示してほしい」、「登録情報を削除してほしい」といった、本人からの開示、訂正、利用停止などの要求に対応するための手順を、あらかじめ定めておく必要があります。
【緊急事態】
万が一、情報漏えいなどの事故が発生してしまった際に、慌てず迅速に対応できるよう、発見から報告、本人への通知、再発防止策までの「緊急事態対応手順」を事前に定めておきます。
【苦情・相談】
本人からの苦情や相談を受け付けるための「窓口」を設置し、その対応手順を整備します。
手順を整備するだけでなく、シミュレーションなどを行って、窓口がきちんと機能するかを確認しておくことも大切です。
「内部規定の策定」というフェーズ
ここまで紹介したフェーズの結果を踏まえ、具体的な社内ルールブックである「内部規定」を策定します。
一般的には、ピラミッド構造をイメージすると分かりやすいです。
頂点に理念である「個人情報保護方針」があり、その配下にPMS全体の基本ルールを定めた規定である「個人情報保護規定」など、さらに、その末端には、各業務での具体的な作業手順を示した「手順書」や、運用時に使用する「様式」や「帳票」が続く、という構成です。
この内部規定を整備することで、全従業者が共通のルールで業務を実施できるようになります。
そして、ルール通りに運用した「証拠」として、「記録」を適切に残すことが非常に重要になってくるのです。
ステップ3:ルールを浸透させるための「教育」
さて、ステップ2の「ルールの作成」で大変な思いをして内部規定というルールブックが完成しました。
しかし、ルールは作って終わりではありません。
それを実行する「人」に浸透させなければ意味がありませんね。
そこで、ステップ3は「教育」です。
教育の対象と重要性
作成したルールを従業者に守ってもらうために、教育を実施します。
この教育の対象は、正社員だけでなく、パートやアルバイト、役員も含めた「全ての従業者」です。
個人情報保護は、誰か一人でもルールを破れば重大な事故につながりかねません。
全員が共通の認識を持つことが非常に重要です。
教育のプロセス
教育も計画的に進める必要があります。
まず「教育計画」を策定し、誰に、いつ、どのような内容を、どうやって教えるかを決めます。
教材を準備し、計画に沿って教育を実施します。
実施したら、テストなどを行って、従業者の「理解度を確認」します。
もし理解が不十分な従業者がいれば、再テストや追加の指導を行うなど、フォローアップも重要です。
最後に、教育の結果をまとめ、次年度の教育計画を検討する際のインプットとして活かします。
教育のポイント
教育のポイントは、「継続的に行う」ことです。
入社時の一度きりではなく、少なくとも年に1回など、定期的に実施することで、知識の定着と意識の維持を図ります。
また、取り扱う個人情報や役割に応じて、部門や階層ごとに教育内容にメリハリをつけることも効果的です。
ステップ4:ルールを実行・記録するという「運用」
教育によってルールが周知されたら、いよいよステップ4、ルールの「運用」です。
「ルールに従う」とは
運用とは、ステップ2の「ルールの作成」で作成した規定やマニュアルなどのルールに従って、実際に日々の業務で個人情報を取り扱うことを指します。
例えば、「顧客データにアクセスする際は、必ず自身のIDとパスワードでログインする」、「機密書類を廃棄する際は、必ずシュレッダーにかける」、「外部にPCを持ち出す際は、必ず上長の許可を得る」といったルールを実行することです。
運用の証拠である「記録」の重要性
ここで、ステップ2の「ルール作成」でも触れましたが、「記録」が極めて重要になります。
Pマークの審査では、「ルールがあること」だけでなく、「ルール通りに運用されていること」を証明しなければなりません。
その証明となるのが「記録」です。
例えば、「入退室管理簿」、「施錠管理表」、「アクセスログ」、「教育の実施記録」などです。
運用した結果は、必ず「記録」として残し、適切に保管する。
これが、ルール通りに運用していることを実証する重要な証拠となります。
ステップ5:運用状況のチェックするための「点検」
ルールに従って運用を始めましたが、本当にルール通りに行われているでしょうか。
あるいは、作ったルール自体に不備はないでしょうか。
それを確認するのが、ステップ5の「点検」です。
点検には、大きく分けて「日常点検」と「内部監査」の2種類があります。
日常点検
これは、現場レベルで、日々の業務の中でルールが守られているかなどを確認する活動です。
例えば、各部門の管理者が、部下の業務のやり方をチェックしたり、定期的に保管庫の施錠状況を確認したりすることです。
もし問題があればその場で是正し、その結果を記録して、個人情報保護管理者や代表者へ報告します。
内部監査
日常点検とは別に、任命された「監査人」が、客観的な立場で計画的に実施するのが「内部監査」です。
PMS全体が、「JIS Q 15001」の要求事項や自社で定めたルールに適合しているか、そして、そのルール通りに実際に運用されているかを、体系的にチェックします。
内部監査の進め方
内部監査は、PMSのPDCAサイクルにおける「Check」の中核をなす、非常に重要なプロセスです。
監査計画の策定
まず、監査責任者が「内部監査計画」を策定します。
いつ、どの部門を、誰が、どのような観点で監査するかを計画します。
監査の実施
監査人は、計画に基づき監査を実施します。
監査では、ルール自体がPマークの要求事項などに適合しているかという「適合状況の確認」と、ルール通りに運用されているかという「運用状況の確認」の両面からチェックします。
具体的には、規定や手順書などの文書を確認し、現場の担当者にヒアリングを行い、そして「記録」を確認することで、運用実態を把握します。
監査報告書の作成と報告
監査が終了したら、監査人は監査結果を「監査報告書」としてまとめます。
監査責任者は、この報告書を代表者などのトップマネジメントへ報告します。
監査における客観性の担保
内部監査で最も重要なことの一つが「客観性」です。
ステップ1の「体制整備」でも触れましたが、監査人は、自分の所属する部門の監査はできません。
例えば、営業部門の担当者が、営業部門のルール運用状況を監査しても、客観的な評価は難しいですよね。
監査の信頼性を保つため、必ず自分とは関係のない部門の監査を担当する、あるいはクロス監査という相互に監査するといった体制を組む必要があります。
ステップ6:トップが見直し行う「マネジメントレビュー」
ステップ5の内部監査などで、現場の運用状況が点検されました。
その結果報告を受けて、次に行うのがステップ6である「マネジメントレビュー」です。
マネジメントレビューとは
マネジメントレビューとは、代表者などのトップマネジメントによる、PMS全体が有効に機能しているかの「見直し」のことです。
これは、PDCAサイクルの「Act」の側面も持つ、重要なプロセスです。
代表者が評価、決定すべきこと
代表者は、個人情報保護管理者や監査責任者から、内部監査の結果や日常点検の結果、法令の変更状況、苦情・相談の対応状況、緊急事態の訓練結果など、PMSの運用に関するさまざまな報告を受けます。
そして、それらの報告結果を評価します。
その上で、PMSの変更や、改善が必要かどうかを決定します。
例えば、「監査で多くの不適合が出た部門には、追加教育が必要だ」とか、「新しい法令に対応するために、規定のこの部分を改訂しよう」といった指示を出します。
このトップによる見直しと決定が、次年度の計画へとつながり、PMSが継続的に改善されていく原動力となるのです。
ステップ7:不適合の改善するための「是正処置」
最後のステップ7は、「是正処置」です。
これは、ステップ5の点検で見つかったルール違反やルールの不備などの不適合を修正し、改善するプロセスです。
不適合への対応プロセス
監査などで「ルールが守られていない」、「ルールに不備がある」といった問題点や不適合が指摘されたら、それを放置してはいけません。
まず、なぜその不適合が発生したのか、根本的な原因を分析します。
そして、その原因を取り除くための処置や対策を立案し、実施します。
単に「ミスでした、気をつけます」というだけでは不十分で、「ミスが起きない仕組み」を考えることが重要です。
有効性のレビューの重要性
是正処置は、対策を実施して終わりではありません。
実施した処置が「本当に役に立っているか」、「不適合が再発しない仕組みになっているか」を評価・確認する必要があります。
もし、対策が不十分であれば、再度、別の対策を検討します。
この処置の内容と結果、そして有効性のレビュー結果は、しっかりと「記録」に残します。
これが、PMSが適切に改善されている証拠となります。
まとめ
PDCAサイクルを回し続ける
ここまで、PMSの導入・構築から運用、改善までの7つのステップをご紹介してきました。
お気づきの通り、これらは一度実施したら終わりではありません。
「体制整備・ルール作成」、「教育・運用」、「点検」、「レビュー・是正処置」というPDCAサイクルを、継続的に回し続けることがPMSの本質です。
このサイクルを回し続けることで、PMSは社会の変化や事業の変化に対応しながら改善され、より強固なものになっていきます。
Pマーク制度とPMSの関係
プライバシーマーク制度とは、このようにして構築・運用されているPMSが、「JIS Q 15001」の規格に適合し、適切に運用されているかどうかを、第三者の目である審査機関が審査する制度です。
Pマークは、PMSが適切に運用されている「証拠」として付与されるのです。
申請から取得までは、書面審査と現地審査を経て、目安としておよそ4か月ほどかかると言われています。
はじめの一歩
個人情報の保護は、現代のビジネスにおいて避けては通れない重要な課題です。
PMSの構築は、一見すると大変な作業に思えるかもしれません。
しかし、自社の情報資産を守り、お客様や取引先からの信頼を獲得するために、非常に価値のある取り組みです。
今回の紹介が、皆様の会社でPマーク取得やPMS構築を検討される際の、はじめの一歩としてお役に立てれば幸いです。
更なる詳細をご確認したい方は、日本情報経済社会推進協会の公式ホームページなどで最新の情報をご確認ください。
