個人情報保護マネジメントシステム構築・運用指針を徹底解説　－序章－

最終更新日:2025/11/13

【目次】

なぜ今、個人情報保護の指針が重要なのか

プライバシーマーク制度とは何か？

JIS Q 15001とは

JIS Q 15001は2023年の改正で何が変わったのか

なぜ今、個人情報保護の指針が重要なのか

現代社会において、データは「21世紀の石油」とも呼ばれ、ビジネスを動かす強力なエネルギー源となっています。

皆様の会社でも、デジタルトランスフォーメーション、いわゆるDXの推進や、AIの活用、ビッグデータの解析など、データを活用した新しい取り組みが日々進められていることでしょう。

これは、私たちの生活をより豊かに、より便利にする大きな可能性を秘めています。

その一方で、私たちが扱うデータの中には、お客様や従業員の「個人情報」という、非常にデリケートで重要な情報が含まれています。

名前、住所、電話番号といった基本的な情報はもちろんのこと、購買履歴、位置情報、健康に関する情報など、その範囲はますます拡大し、複雑化しています。

特に、リモートワークの普及やクラウドサービスの利用拡大は、私たちの働き方を劇的に変えましたが、同時に、社内外の境界線を曖昧にし、情報がやり取りされる経路を複雑にしました。

これにより、これらの重要な個人情報が外部に漏洩するリスクも、残念ながら高まっているのが現実です。

皆様も、ニュースなどで大規模な情報漏洩の事件を目にするたびに、他人事ではないと感じられるのではないでしょうか。

ひとたび情報漏洩事故が起これば、その影響は計り知れません。

被害者への謝罪や補償といった直接的な金銭コストはもちろんのこと、行政からの指導や罰則、そして何よりも、「あの会社は信頼できない」というレッテルによるブランドイメージの失墜、顧客離れ、取引停止など、ビジネスの根幹を揺るがす事態に発展しかねません。

企業の信頼は、築くのには長い年月がかかりますが、失うのは一瞬です。

だからこそ今、企業には「個人情報を適切に保護する体制」を単に持っているだけでなく、それを継続的に改善し、社会に対して「私たちは皆様の情報を大切に扱っています」と明確に示すことが、これまで以上に強く求められています。

それはもはや、一部の情報システム部門や総務部門だけの課題ではなく、経営マターそのものと言えるでしょう。

その「信頼の証」として、多くのビジネスパーソンが注目し、取得・運用に日々向き合っているのが、「プライバシーマーク（Pマーク）」ではないでしょうか。

そして、そのプライバシーマークの取得・運用において、すべての事業者が向き合わなければならない、まさに「羅針盤」とも言える文書があります。

それが、本ブログのテーマである「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」です。

「指針」と聞くと、なんだか堅苦しく、分厚いルールブックのように感じられるかもしれません。

しかし、これは私たち事業者が、個人情報保護という荒波を乗り越え、お客様からの信頼という目的地にたどり着くために、JIPDEC（プライバシーマーク制度の運営機関）が示してくれている、非常に重要な「海図」なのです。

しかも、この「海図」は、2023年に大きなアップデートが行われました。

新しい法律、新しいテクノロジー、新しい社会のリスクに合わせて、より高精度なものへと進化したのです。

このブログシリーズは、その新しくなった「構築・運用指針」のJ.1からJ.11までの各項目を、できるだけ分かりやすく、皆様のビジネス現場での実務に役立つ形でご紹介していくことを目的としています。

今回はその「序章」として、なぜ今この指針が改定されたのか、その背景にあるものは何なのか、そしてこの指針が皆様のビジネスにとってどのような意味を持つのか、その全体像を一緒に見ていきたいと思います。

これから始まる詳細な紹介の前に、まずはウォーミングアップとして、プライバシーマーク制度の基本からおさらいしていきましょう。

プライバシーマーク制度とは何か？

すでにご存知の方も多いかと思いますが、まずは基本の確認です。

プライバシーマーク制度、通称「Pマーク」は、事業者が個人情報を適切に取り扱うための体制（これを「個人情報保護マネジメントシステム」＝PMSと呼びます）を整備し、それを適切に運用していることを、第三者機関が評価し、認証する仕組みです。

認証を取得した事業者は、あの見慣れた「Pマーク」のロゴを使用することが認められます。

この制度は、一般財団法人日本情報経済社会推進協会（JIPDEC）によって運営されています。

皆様も、名刺やウェブサイト、パンフレットなどで、このマークを目にする機会は多いのではないでしょうか。

■プライバシーマーク制度の目的とメリット

この制度の最大の目的は、「消費者の目に見える形で、事業者が個人情報保護への取り組みを行っていることを示す」ことにあります。

私たち消費者は、サービスを利用する際、自分の個人情報がどのように扱われるのか、不安に思うことがあります。

Pマークは、そうした不安を和らげ、「この会社なら信頼できる」という安心感を与える役割を果たしています。

事業者側にとってのメリットは非常に大きいものがあります。

第一に、先ほどから申し上げてい「信頼性」の向上です。

消費者向けのビジネス（BtoC）はもちろんのこと、企業間取引（BtoB）においても、「あの会社は個人情報の管理がしっかりしている」という評価は、強力な武器となります。

特に、大量の個人情報を扱う業務を委託する場合など、Pマークの有無が取引先選定の重要な基準となることも少なくありません。

第二に、ビジネスチャンスの拡大です。

自治体や大手企業の入札案件では、Pマークの取得が応募の条件となっているケースが多々あります。

Pマークを持っていないというだけで、大きなビジネスチャンスを逃してしまう可能性もあるのです。

第三に、社内の意識改革と法令遵守体制の強化です。

Pマークを取得・維持するためには、全従業員への教育や定期的な内部監査が必須となります。

このプロセスを通じて、「個人情報保護は会社全体で取り組むべき重要な課題である」という意識が組織の隅々まで浸透します。

また、Pマークの基準は、日本の個人情報保護法や関連する法令、ガイドラインに準拠して作られています。

そのため、Pマークの体制を適切に運用すること自体が、法令遵守（コンプライアンス）の体制を維持・強化することに直結するのです。

■なぜ今、Pマークが再び注目されるのか

Pマーク制度は1998年に始まり、すでに25年以上の歴史があります。

「昔からある制度」というイメージをお持ちの方もいらっしゃるかもしれません。

しかし、この制度は、時代の変化に合わせて進化を続けており、特に今、その重要性が再認識されています。

その最大の理由は、個人情報保護法の頻繁な改正です。

皆様もご存知の通り、近年、個人情報保護法は数年おきに大きな改正が行われています。

2020年改正、2021年改正（いわゆる「3年ごと見直し」）では、個人の権利が強化されたり、事業者の責務が追加されたり、データの越境移転に関する規制が厳しくなったりと、対応すべき項目は増える一方です。

正直なところ、法改正のたびに、自社だけでその内容を完璧に把握し、社内規程や運用フローに間違いなく反映させ、全従業員に周知する、というのは、なかなかに骨が折れる作業ではないでしょうか。

Pマークの認証基準は、こうした最新の法改正に迅速に連動して見直されます。

つまり、Pマークを維持・更新するためにJIPDECから提供される情報（まさに、これから紹介する「構築・運用指針」など）にキャッチアップし、審査に対応していくプロセス自体が、最新の法令に準拠した体制を維持・強化するための、非常に効率的で確実な「道しるべ」となるのです。

加えて、消費者の意識も大きく変わりました。

SDGsやESG投資といった言葉が一般的になる中で、企業が単に利益を追求するだけでなく、社会的な責任（CSR）を果たすことを求める目が厳しくなっています。

個人情報を適切に保護することは、その社会的責任の中でも根幹をなす部分であり、企業の持続的な成長に不可欠な要素として認識され始めているのです。

このように、Pマークは単なる「お墨付き」ではなく、変化の激しい現代社会において、法令を遵守し、社会的な責任を果たし続けるための、実践的な「マネジメントシステム」として、その価値が再評価されていると言えるでしょう。

JIS Q 15001とは

さて、プライバシーマーク制度の「背骨」とも言える存在について、次にお話しなければなりません。

それが、JIS Q 15001（ジスキューイチマンゴセンイチ）という規格です。

「JIS」と付いていることからも分かる通り、これは日本の産業規格（Japanese Industrial Standards）の一つです。

正式な名称は「個人情報保護マネジメントシステム―要求事項」と言います。

なんだか難しそうですね。

簡単に言えば、「会社が個人情報を守るための仕組み（＝個人情報保護マネジメントシステム、PMS）を作る際に、最低限これだけは守ってくださいね」という「要求」がまとめられたルールブックです。

プライバシーマーク制度は、このJIS Q 15001の要求事項に基づいて、事業者のPMSが適切に構築され、運用されているかを審査します。

つまり、Pマークの審査基準の大元となっているのが、このJIS Q 15001なのです。

皆様がPマークを取得・運用する上で作成・管理されている「個人情報保護方針」や「内部規程」、あるいは「リスクアセスメントの記録」や「教育の計画書」といった文書類は、すべてこのJIS Q 15001が「こういうものを用意してください」と要求しているからこそ、存在している、と言っても過言ではありません。

この規格は、ISO 9001（品質）やISO 14001（環境）といった他の国際的なマネジメントシステム規格と同様に、「PDCAサイクル」という考え方に基づいています。

PDCAとは、

・Plan（計画）：個人情報保護のための方針や目標、計画を立てる。

・Do（実行）：計画に沿って、体制を整備し、教育を行い、ルールを運用する。

・Check（評価）：計画通りに運用できているか、問題は起きていないかを監査や点検でチェックする。

・Act（改善）：チェックで見つかった問題点を改善し、次の計画に活かす。

という一連の流れを指します。

このサイクルをぐるぐる回し続けることで、一度体制を作って終わりにするのではなく、社会の変化や新しいリスクの出現に合わせて、個人情報保護のレベルを継続的に高めていく（スパイラルアップさせていく）ことを目的としています。

JIS Q 15001は、このPDCAサイクルを回すために必要な「組織の状況の理解」「リーダーシップ」「計画」「支援」「運用」「パフォーマンス評価」「改善」といった章立てで構成されています。

Pマークの担当者であれば、これらの言葉には聞き覚えがあるのではないでしょうか。

このJIS Q 15001という「設計図」があるからこそ、業種や規模が異なる様々な事業者が、一定の基準を満たした個人情報保護の仕組みを構築・運用できるのです。

そして、この「設計図」が、2023年に大きく書き換えられることになりました。

それが、次に紹介する「2023年改正」です。

JIS Q 15001は2023年の改正で何が変わったのか

Pマークの「設計図」であるJIS Q 15001ですが、これは一度作られたら永遠に変わらない、というものではありません。

むしろ、個人情報保護を取り巻く環境の変化に対応するため、定期的に見直され、改正されてきました。

そして2023年9月、JIS Q 15001:2017（2017年版）が改正され、「JIS Q 15001:2023」が発行されました。

Pマークの担当者にとっては、まさに「衝撃」とも言える大きな出来事です。

なぜなら、「設計図」が変わるということは、その「設計図」に基づいて作られている自社のPMS、つまり社内規程や運用ルールも見直さなければならない、ということを意味するからです。

■なぜ、今改正が必要だったのか？

今回の改正の背景には、大きく分けて3つの要因があります。

1. 個人情報保護法の改正への対応

最も大きな要因は、先ほども触れた「個人情報保護法」の改正です。

特に2020年と2021年に行われた改正（いわゆる「3年ごと見直し」）は、非常に広範なものでした。

例えば、「仮名加工情報」という新しい情報の類型が創設されたり、個人データの漏洩等が発生した場合の「本人通知」や「個人情報保護委員会への報告」が義務化されたり、外国の事業者にデータを提供する際のルールが厳格化されたりしました。

また、「個人の権利」も強化され、私たちが事業者に対して自分の情報の利用停止や消去を請求できる範囲が広がりました。

JIS Q 15001は、個人情報保護法と密接に関連しています。

法律で求められる水準が上がれば、JIS規格も当然、それに対応した内容にアップデートする必要があったのです。

2. 国際規格（ISO）との整合性

二つ目の要因は、グローバル化への対応です。

ビジネスが国境を越えるのが当たり前になった現代、個人データも世界中を飛び交っています。

欧州のGDPR（一般データ保護規則）のように、非常に厳しい個人情報保護規制を設けている国や地域もあります。

こうした中で、国際的なプライバシー保護の標準規格であるISO/IEC 27701（プライバシー情報マネジメントシステム、通称PIMS）など、他の国際規格との整合性を高める必要が出てきました。

日本のJIS規格が、国際的な標準とかけ離れた「ガラパゴス」なものであっては、グローバルにビジネスを展開する上で不利になってしまいます。

今回の改正では、こうした国際規格の考え方や構造を取り入れ、より世界標準に近いマネジメントシステム規格へと進化を遂げました。

3. テクノロジーの進化と新たなリスクへの対応

三つ目の要因は、言うまでもなくテクノロジーの急速な進化です。

AI（人工知知能）、ビッグデータ解析、IoT（モノのインターネット）といった技術は、私たちの生活を豊かにする一方で、新たな個人情報のリスクを生み出しています。

例えば、AIが個人の趣味嗜好を詳細にプロファイリングしたり、街中のカメラ映像から個人が特定されたりする可能性です。

前回の2017年版が作られた時にはまだ一般的でなかったような技術が、今やビジネスの最前線で使われています。

新しいJIS規格では、こうした新しい技術を利用する際に、「個人の権利利益を不当に侵害する可能性」をきちんと評価し、対策を講じることを求めるなど、テクノロジーの進展に伴う新たなリスクに対応するための要求事項が盛り込まれました。

■改正のポイント（概要）

では、具体的に何が大きく変わったのでしょうか。

詳細な紹介は今後のブログに譲りますが、序章として、特に重要なポイントをいくつかご紹介します。

一つ目は、「リスクベースのアプローチの強化」です。

これは、「すべての個人情報を一律に同じレベルで守る」という考え方から、「情報漏洩などが起きた場合に、個人の権利や自由に与える影響（リスク）の大きさに応じて、メリハリをつけて管理する」という考え方へのシフトを意味します。

高いリスクが想定される個人情報（例えば、健康情報や人種、信条といった「要配慮個人情報」など）は、より手厚い保護策を講じ、逆にリスクの低いものは、利活用も視野に入れる、という柔軟な対応が求められるようになります。

二つ目は、「法令遵守（コンプライアンス）の明確化」です。

個人情報保護法だけでなく、マイナンバー法、あるいは各業界特有のガイドラインなど、自社の事業に関連する個人情報保護の法令や規制を「特定」し、それらを「遵守」するための体制を構築・運用することが、より明確に要求されるようになりました。

三つ目は、「個人の権利」への対応の具体化です。

法律改正で強化された、本人からの開示、訂正、利用停止などの請求に対応する手順を、より具体的に定め、適切に運用することが求められています。

これらの変更は、Pマークの担当者にとって、これまでの運用を見直す大きなきっかけとなるはずです。

そして、この新しい「設計図（JIS Q 15001:2023）」に基づいて、Pマーク審査の具体的な「ものさし」として改定されたのが、いよいよ本題の「構築・運用指針」なのです。

構築・運用指針とは何か

お待たせいたしました。

ここからが、このブログシリーズの核心、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」（以下、「構築・運用指針」）についての紹介です。

■審査の「ものさし」そのもの

Pマークの「設計図」がJIS Q 15001であるとすれば、この「構築・運用指針」は、その設計図に基づいて現場で審査を行う審査員が持つ、「具体的な寸法を測るためのものさし」であり、「チェックリスト」であると言えます。

この指針は、Pマーク制度を運営するJIPDEC（ジプデック）が定めています。

その目的は、Pマークの審査において、事業者のPMSがJIS Q 15001の要求事項に適合しているかどうかを評価（審査）するための、「統一された基準」を示すことです。

もし、この指針がなければ、審査員Aさんは「ここまでやればOK」と言うのに、審査員Bさんは「いや、それでは不十分だ」と言う、といったように、審査員個人の解釈によって判断がバラバラになってしまうかもしれません。

それでは、事業者としては、安心して審査を受けることができません。

そうしたバラツキをなくし、公平かつ客観的な審査を実現するために、JIPDECが「JIS Q 15001のこの要求事項は、具体的にこういうことができていれば適合とみなします」という公式な解釈を示したのが、この「構築・運用指針」なのです。

■なぜJIS規格だけでなく「指針」を読む必要があるのか

ここで、「JIS Q 15001だけを読んで、その要求事項を満たしていればいいのではないか？」と疑問に思われる方がいらっしゃるかもしれません。

確かに、JIS Q 15001はPMSの「要求事項」を定めた規格です。

しかし、JIS規格（あるいはISO規格）というものは、その性質上、様々な業種や規模の組織に適用できるように、あえて「抽象的」な表現を使っている部分が多くあります。

例えば、JIS Q 15001には「リスクアセスメントを実施しなければならない」といった要求事項はありますが、「リスクアセスメントを具体的にどのような手順で、どのシートを使って、何人で行いなさい」とまでは書かれていません。

もしそんなことまで決められていたら、従業員5人の会社と5万人の会社が同じ手順で実施しなければならなくなり、現実的ではありません。

一方で、私たち事業者としては、「で、具体的に何を、どこまでやれば、審査で『OK』をもらえるの？」という点が一番知りたいところです。

この「構築・運用指針」は、そのJIS規格の抽象的な「要求事項」と、事業者が実務レベルで実施すべき「実施事項」との間のギャップを埋める役割を果たしています。

この指針には、JIS Q 15001の各項番（例えば「J.5 リスク及び機会への取組み」）に対応する形で、「事業者が実施すべき内容」や「その内容を確認するために審査でチェックするポイント（確認内容）」が、JIS規格よりも一段階ブレイクダウンされて、具体的に示されています。

（皆様がお持ちの参考資料にも、「具体的な実施内容は表形式で記載されています」とありますね）

ですから、Pマークの取得を目指す事業者、あるいは更新審査を控えた事業者の担当者にとって、JIS Q 15001の原文（設計図）とにらめっこするのと同時に、この「構築・運用指針」（ものさし）を読み込み、「審査員は、この要求事項に対して、具体的に何をもって『OK』と判断するのか」を理解しておくことが、非常に重要になるのです。

審査員は、この「構築・運用指針」を基準に審査を行います。

ならば、私たち事業者も、この「構築・運用指針」を基準にPMSを構築・運用し、準備を進めるのが、最も合理的で確実な方法であることは、言うまでもありません。

■JIS Q 15001:2023準拠への改定

そして、今回このブログで取り上げるのは、JIS Q 15001:2023（2023年版JIS規格）の発行に伴い、JIPDECによって新しく改定された「構築・運用指針」です。

「設計図」が新しくなったのですから、当然、「ものさし」も新しい設計図に対応したものに作り替えられる必要があります。

この新しい「構築・運用指針」は、JIS Q 15001:2023で追加・変更された要求事項（リスクベースのアプローチの強化や、法令遵守の明確化など）を、審査の現場でどのように確認するのか、その具体的な基準を示したものになります。

Pマークの担当者にとって、今、最もホットで、最も正確に理解しなければならない最重要ドキュメント、それがこの新しい「構築・運用指針」なのです。

■新指針の適用スケジュール（重要！）

では、この新しい「ものさし」は、いつから使われ始めるのでしょうか。

これは非常に重要なポイントです。

JIPDECの発表（皆様の参考資料にも記載があります）によれば、このJIS Q 15001:2023に準拠した新しい「構築・運用指針」に基づく審査は、

「2024年10月1日以降の申請受付分から」適用

とされています。

「申請受付分から」というのがポイントです。

例えば、Pマークの有効期間が2025年2月で、2024年10月5日に更新申請を行った事業者は、新しい「構築・運用指針」に基づいて審査されることになります。

一方で、2024年9月30日までに更新申請を行った事業者は、従来の指針（JIS Q 15001:2017年版ベース）で審査されることになります。

すでに2024年10月1日を過ぎていますから（※このブログは2025年11月13日に執筆されています）、これから新規取得の申請をする事業者、あるいはこれから更新申請の準備を始める事業者は、すべからく、この新しい「構築・運用指針」への対応が必須となります。

「うちの会社は、もう何年もPマークを更新しているから大丈夫」

「今までのやり方で、特に指摘も受けていない」

そういった油断は禁物です。

「ものさし」自体が変わったのですから、これまでのやり方では「寸法足らず」と判断されてしまう（＝審査で「不適合」の指摘を受ける）可能性が十分にあります。

だからこそ、今、すべてのPマーク運用担当者が、この新しい「構築・運用指針」を正しく理解する必要があるのです。

この指針は、JIPDECのプライバシーマーク制度のウェブサイトで公表されており、誰でも閲覧またはダウンロードが可能です。

まずは、最新版の指針を手元に準備することから始めてみてください。

構築・運用指針の全体像

では、その新しい「構築・運用指針」は、一体どのような構成になっているのでしょうか。

このブログシリーズは、指針の「J.1」から「J.11」までの各項目を詳細にご紹介していくものです。

今回は「序章」として、本格的な紹介に入る前に、指針全体の「地図」を広げて、それぞれの項目がどのような役割を持っているのか、その概要だけを「さらっと」ご紹介します。

（皆様の参考資料にもあるように、指針の項番（J.1など）の末尾にある括弧書きの番号（例：(4.1)）は、対応するJIS Q 15001の項番を示しています）

この全体像を頭に入れておくだけで、次回以降の詳細な紹介の理解度が格段に上がるはずです。

先ほども触れた通り、この指針の構成は「PDCAサイクル」を意識したものになっています。

どの項目がP（計画）、D（実行）、C（評価）、A（改善）のどこに当たるのかを考えながら見ていくと、理解が深まります。

■指針（J.1～J.11）の概要紹介

J.1 目的及び適用範囲（JIS 1）

（P D C A の前段階）

ここは、いわば「この文書（指針）の取り扱い説明書」です。

この指針が何のために作られ、誰が（どの範囲の事業者が）使うものなのか、その目的と適用範囲を定義しています。

まずはここを読み、指針の立ち位置を確認します。

J.2 用語及び定義（JIS 3）

（P D C A の前段階）

「個人情報」「仮名加工情報」「マネジメントシステム」「リスク」など、この指針やJIS規格を読み解く上で不可欠な「共通言語」となる用語の定義がまとめられています。

言葉の定義を曖昧にしたままでは、要求事項の解釈もズレてしまいます。

非常に地味ですが、重要なセクションです。

J.3 組織の状況（JIS 4）

（P：計画）

ここからが、本格的にPDCAの「P（Plan）」のサイクルに入っていきます。

「敵を知り、己を知れば、百戦危うからず」という言葉がありますが、まさにその「己を知る」プロセスです。

自社がどのような事業を行っていて（事業の状況）、お客様、従業員、株主、監督官庁といった「利害関係者」が、自社の個人情報保護に対して何を期待し、何を懸念しているのかを、まず理解することから始めます。

これを理解した上で、PMSを適用する「範囲」（例えば「本社及び全支店の全業務」など）を決定します。

J.4 マネジメントシステム及び個人情報保護方針（JIS 5）

（P：計画＆全体）

PMSを動かす「エンジン」とも言える部分です。

組織のトップ（社長などの経営層）が、「我が社は本気で個人情報保護に取り組みます！」という強力な「リーダーシップ」を発揮し、その決意表明として「個人情報保護方針」を策定し、社内外に公表することを求めています。

また、実際にPMSを運用するための「個人情報保護管理者」（多くの場合、担当役員や部門長が任命されます）や「個人情報保護監査責任者」といった、具体的な役割と責任を定めることもここで要求されます。

J.5 リスク及び機会への取組み（JIS 6）

（P：計画）

PDCAの「P（Plan）」の核心部であり、今回のJIS Q 15001:2023改正で最も重要視されるようになったセクションの一つです。

いわゆる「リスクアセスメント」のプロセスです。

まずは、自社が取り扱っているすべての個人情報を洗い出し（「個人情報管理台帳」などの作成）、それぞれの個人情報について、「漏洩したらどんな悪いことが起きるか」「個人の権利を侵害する可能性はないか」といった「リスク」を特定・分析・評価します。

そして、その評価結果に基づいて、「このリスクは高すぎるから、すぐに対策（安全管理措置）を講じよう」「このリスクは受容可能だ」といった判断を下し、具体的な「個人情報保護目的・目標」と「実施計画」を立てます。

新しいJIS規格では、このリスク評価を「個人の権利利益」の観点から行うことが強調されています。

J.6 支援（JIS 7）

（D：実行）

計画（Plan）を立てたら、今度はそれを実行（Do）するための「土台」を固めるフェーズです。

具体的には、PMSを運用するために必要な「資源」（人、モノ、カネ、情報）を確保し、従業員の「力量（スキル）」が十分かどうかを確認し、そして何よりも重要な「教育（認識）」を行います。

「こういうルールを作りました」という「コミュニケーション」を適切に行い、必要な「文書化（規程や記録）」を管理することも、この「支援」に含まれます。

どんなに立派な計画も、実行する「人」の意識とスキル、そしてそれを支える「資源」がなければ絵に描いた餅になってしまいます。

J.7 運用（JIS 8）

（D：実行）

PDCAの「D（Do）」、まさに日々の「運用」フェーズです。

J.5で立てた計画に基づき、日々の業務の中で個人情報を適切に取り扱うための具体的なルール（安全管理措置）を実行します。

個人情報の「取得」「利用」「提供」のルール、不要になった情報の「廃棄」のルール、あるいはPCのパスワード管理や入退室管理といった「物理的・技術的な安全管理」の実施などがここに含まれます。

また、個人情報保護法で新しく求められるようになった「仮名加工情報」の取り扱いや、万が一漏洩事故が起きてしまった場合の「インシデント対応」のプロセスも、この「運用」の中で管理されます。

J.8 マネジメントシステムのパフォーマンス評価（JIS 9）

（C：評価）

ここからはPDCAの「C（Check）」、評価のフェーズです。

計画（Plan）通りに実行（Do）できているか、その結果、個人情報はきちんと保護されているか、設定した目標は達成できそうかを、「評価」します。

やみくもに頑張るのではなく、「何を測定し」「いつ分析し」「どう評価するか」をあらかじめ決めておき、その結果（データ）に基づいて客観的にチェックすることが求められます。

J.9 内部監査（JIS 9.2）

（C：評価）

パフォーマンス評価の中でも、特に重要な位置を占めるのが「内部監査」です。

これは、自社の人間が（ただし、監査対象の部署から独立した立場で）、「JIS Q 15001の要求事項」や「自社で定めたPMSのルール（規程など）」が、実際にその通りに守られているかを、客観的な証拠に基づいてチェックする活動です。

健康診断で体調をチェックするように、PMSが正常に機能しているかを定期的に診断する、非常に重要なプロセスです。

Pマークの審査員（外部監査）は、この「内部監査」が適切に行われているかを厳しくチェックします。

J.10 マネジメントレビュー（JIS 9.3）

（A：改善への橋渡し）

PDCAサイクルの「C（Check）」の総仕上げであり、次の「A（Act）」への橋渡しとなるのが、この「マネジメントレビュー」です。

これは、単なる現場の反省会ではなく、J.8の評価結果やJ.9の内部監査の結果といった様々な情報をインプットとして、組織のトップ（経営層）が自らPMS全体の有効性を見直し、「このままの体制でいいのか」「方針や目標を変える必要はないか」「もっと改善できることはないか」を判断し、指示を出すプロセスです。

トップがコミットし続けることで、PMSが形骸化するのを防ぎます。

J.11 改善（JIS 10）

（A：改善）

PDCAの最後の「A（Act）」、改善のフェーズです。

J.9（内部監査）やJ.10（マネジメントレビュー）などで見つかった「問題点（不適合）」に対して、単にその場しのぎの「修正（モグラたたき）」をするだけでなく、なぜその問題が起きたのかという「根本原因」を突き止め、二度と同じ問題が起きないように「是正処置」を講じます。

そして、この改善策を次の「P（Plan）」に反映させていくことで、PMSは「継続的に改善」され、そのレベルがスパイラルアップしていくのです。

・・・いかがでしょうか。

J.1からJ.11まで、PDCAサイクルに沿って、PMSを構築し、運用し、評価し、改善していくための一連の流れが、体系的に網羅されていることがお分かりいただけたかと思います。

このブログシリーズでは、次回から、このJ.1から順に、新しい指針では何が求められ、審査では何がチェックされるのか、そのポイントを一つひとつ、詳しくご紹介していきます。

今、ビジネスパーソンが持つべき視点

ここまで、JIS Q 15001の改正と、それに伴う「構築・運用指針」の改定について、その背景と全体像をご紹介してきました。

Pマークの運用を担当されている皆様の中には、「また規程を改定しなきゃいけないのか」「新しいルールの教育もしなければ」「審査の準備が大変になる」と、正直なところ、「負担が増えた」と感じられている方も少なくないかもしれません。

確かに、規格や指針が変わる、ということは、これまでのやり方を見直し、変更を加える必要がある、ということです。

その作業には、時間も労力もかかります。

しかし、ここでぜひ、視点を変えてみていただきたいのです。

この「改正」は、本当に「負担」でしかないのでしょうか。

私は、むしろこれは、自社の個人情報保護体制を、時代の変化に合わせてアップデートし、強化するための、またとない「チャンス」であると捉えています。

考えてみてください。

もし、JIS規格や指針が何年も変わらないままだったら、どうなっていたでしょうか。

AIやビッグデータといった新しい技術がもたらすリスクに対応できない、古いルールのまま運用を続けることになっていたかもしれません。

法律は改正されているのに、社内のPMSがそれに追いついておらず、「法令違反」のリスクを抱えたままビジネスを続けることになっていたかもしれません。

Pマークという制度が「時代遅れ」のレッテルを貼られ、せっかく取得・維持していても、社会的な信頼を得る「証」としての価値が薄れてしまっていたかもしれません。

「構築・運用指針」が新しくなった、ということは、私たちが準拠すべき「ものさし」が、最新の法令や、最新の技術リスク、そして最新の国際標準に対応した、より信頼性の高い「ものさし」に進化した、ということです。

この新しい「ものさし」に合わせて自社の体制を見直すことは、

・最新の個人情報保護法への法令遵守（コンプライアンス）を、確実に行うこと。

・AIの利用など、新しいビジネスを展開する上で潜む「個人の権利侵害リスク」に、いち早く気づき、対策を講じること。

・「うちは、国際標準にも通じるレベルで、個人情報保護をしっかりやっています」と、取引先やお客様に対して、より強く、胸を張って言えるようになること。

につながります。

これは、守りの「負担」ではなく、未来のビジネスを守り、成長させるための、積極的な「投資」と言えるのではないでしょうか。

Pマークの更新審査は、2年に1回（あるいは1年）やってきます。

この審査を、「ああ、また面倒な時期が来た」「なんとか指摘を受けずに乗り切ろう」と、受動的に捉えるのは、非常にもったいないことです。

そうではなく、この審査と、その基準である「構築・運用指針」の改定を、「2年に1度の、自社のPMSを総点検し、最新版にアップデートする絶好の機会」と捉えてみてはいかがでしょうか。

今回の改正で特に重要視されている「リスクベースのアプローチ」（J.5）は、まさにそのための強力なツールです。

「前回の審査でOKだったから、今年も同じでいい」という思考停止ではなく、「この2年間で、新しく始めたサービスはないか？」「新しく使い始めたクラウドツールはないか？」「それによって、新しい個人情報のリスクは発生していないか？」と、自社のビジネスの変化に目を向け、それに応じてPMSも柔軟に変化させていく。

「構築・運用指針」は、その見直しを行う上で、「どこに注目し、何を点検すべきか」を教えてくれる、最高のチェックリストになってくれるはずです。

このブログシリーズが、皆様にとって、新しい指針への対応を「やらされ仕事」ではなく、自社の体制を強化するための「前向きなプロジェクト」として捉え直す、その一助となれば、これほどうれしいことはありません。