個人情報保護マネジメントシステム構築・運用指針を徹底解説 -「J.1 組織の状況」編-
最終更新日:2025/11/13
こんにちは。
ビジネスを行う上で、今や「個人情報」の取り扱いは、企業の信頼に直結する非常に重要なテーマとなっていますよね。
特に、プライバシーマーク(Pマーク)を取得し、維持していくことは、お客様や取引先に対する安心の証となります。
そのPマークの基準となる「個人情報保護マネジメントシステム構築・運用指針」が、JIS Q 15001:2023に準拠する形で新しくなりました。
この指針は、事業者が個人情報保護マネジメントシステム(PMS)を構築し、運用していく上で「何をすべきか」を示した、いわば羅針盤のようなものです。
今回は、この非常に大切な指針の中でも、PMSの「土台」のさらに「基礎」とも言える最初の部分、「J.1 組織の状況」のセクションについて、じっくりと中身を紹介していきたいと思います。
このJ.1は、家づくりで言えば「土地(敷地)の状況を詳しく調査する」段階にあたります。
どのような土地に家を建てるのか、法的な制約は何か、地盤はどうか、ご近所さん(利害関係者)はどんな人か。
ここをしっかり把握することが、安全で立派な家(=信頼されるPMS)を建てるための第一歩となります。
少し専門的な内容も含まれますが、皆さんの日々の業務にも関わる大切なポイントですので、ぜひリラックスしてお付き合いください。
それでは、まず、PMSを構築・運用する上での「前提条件」を整理するセクション、「J.1 組織の状況」から見ていきましょう。
自分たちが今、どのような状況に置かれているのかを正しく知ることから全てが始まります。
このセクションは、J.1.1からJ.1.5までの5つの項目で構成されています。
J.1.1 組織及びその状況の理解
ここでは、事業者が個人情報を取り扱う事業に関して、PMSに影響を与える可能性のある「外部の課題」と「内部の課題」を特定することが求められています。
なんだか難しく聞こえるかもしれませんが、要するに「自分たちの会社の外と内で、個人情報保護に影響しそうなことは何があるか、ちゃんと把握しておきましょうね」ということです。
この把握は、PMS、つまり個人情報を守る仕組みづくりが、単なる思い付きや独りよがりにならないために、とても重要です。
会社の現状や、会社を取り巻く環境を正しく見つめることが、実効性のあるルール作りのスタートになります。
外部の課題とは
まず、会社の外にある要因、「外部の課題」について考えてみましょう。
これは、自社ではコントロールが難しいけれど、個人情報の取り扱いに大きな影響を与えてくる事柄です。
例えば、以下のようなものが考えられます。
法制度の改正
これは非常に分かりやすい外部課題ですね。
個人情報保護法や関連するガイドライン、あるいは特定の業界ルールが変わることは、まさに大きな外部の課題です。
「昨日までOKだったことが、今日からNGになる」といった事態もあり得ます。
最近も法改正がありましたし、今後も社会情勢や国際的な動向に合わせて変わっていくでしょう。
この変化のスピードについていくことは、現代のビジネスにおいて必須のスキルと言えます。
技術の進歩
新しいIT技術、例えばAI(人工知能)の活用や、クラウドサービスの普及は、ビジネスを飛躍的に便利にしてくれます。
しかしその一方で、これまでになかった新しい形での情報漏洩リスクや、意図しないプライバシー侵害を生む可能性も秘めています。
こうした技術的な進展も、重要な外部の課題として認識しておく必要があります。
社会的な期待の変化
消費者のプライバシーに対する意識が、ひと昔前と比べて格段に高まっていることも、見逃せない外部の課題です。
法律違反ではな
くても、「この会社は個人情報の扱いが雑だ」というイメージが広まれば、企業の信頼は大きく損なわれます。
社会が今、企業に対してどのような「配慮」や「透明性」を求めているのかを敏感に察知することも大切です。
競合他社の動向
同業他社がどのような個人情報保護の取り組みをしているか、という点も、見方によっては外部の課題です。
他社が高いレベルの保護体制をアピールしている中で、自社が遅れをとっていれば、それはビジネス上の弱点になり得ます。
内部の課題とは
次に、会社の中の事情、「内部の課題」です。
こちらは、自社の努力や工夫である程度コントロールできる可能性がある要因ですね。
経営資源
これはとても現実的な問題です。
個人情報保護にどれだけの人員や予算を割けるか、という問題です。
「理想は分かるけれど、専任の担当者を置く余裕がない」あるいは「セキュリティシステムを導入する予算が足りない」といった状況は、多くの企業が直面する内部課題かもしれません。
組織体制
会社の組織構造も影響します。
例えば、急な組織再編や合併、事業所の移転などがあると、個人情報の管理ルールが一時的に曖昧になったり、責任の所在が不明確になったりしがちです。
従業者の認識
これが最も重要かもしれません。
社員一人ひとりの個人情報保護に対する意識や知識レベルも、重要な内部課題と言えます。
どんなに立派なルールやシステムを作っても、使う「人」の意識が低ければ、ヒューマンエラーによる事故は防げません。
事業の特性
自社がどのような事業を行っているか、という点も課題になります。
例えば、大量の機微な情報(要配慮個人情報など)を扱う事業なのか、それとも名刺情報が中心なのかによって、取るべき対策のレベルは大きく異なります。
これらの内部と外部の課題を、「現状」だけではなく、「将来実施するであろう事業」も見据えて洗い出すことが大切だと、指針は示しています。
会社がこれから成長していくために、今のうちから手を打っておくべき課題は何か、という未来志向の視点も求められているのです。
J.1.2 利害関係者のニーズ及び期待の理解
次に、PMSに関連する「利害関係者」が誰で、その人たちが何を求めているのか(ニーズや期待)を理解することが求められます。
「利害関係者」というと硬い言葉ですが、一般的には「ステークホルダー」と呼ばれる人々や事業者のことです。
PMSは、会社のためだけにあるのではありません。
関わる全ての人々の「期待」に応えることで、初めてその価値が生まれます。
PMSにおける利害関係者とは
具体的には、以下のような立場が挙げられます。
本人
これはもちろん、私たち(事業者)が取り扱う個人情報の持ち主である、お客様やサービスの利用者のことです。
彼らの最大の期待は、「自分の情報を安全に、正しく、使ってほしい」ということに尽きます。
「勝手に使われないか」「漏れたりしないか」という不安を解消し、「安心」を提供することが求められます。
従業者
会社の中で働く社員、契約社員、派遣社員、役員なども、個人情報(人事情報など)を提供する「本人」であると同時に、PMSを運用する「当事者」でもあります。
自分の人事情報や健康診断結果などが適切に管理されることを期待する一方で、会社からはルールを守って業務を遂行することを求められます。
取引先(委託元や委託先)
ビジネスは多くのパートナーとの連携で成り立っています。
仕事を依頼する側(委託元)であれば、「預けた情報を、自社と同じかそれ以上のレベルでしっかり管理してほしい」と期待します。
これは、自社の信頼を守るためにも当然の要求です。
仕事を受ける側(委託先)であれば、委託元から明確な管理ルールや高いセキュリティレベルを求められることになります。
国や監督官庁
法律やガイドラインを定め、事業者がそれを守っているかを監督する機関も、重要な利害関係者です。
彼らの期待は、「法令を遵守し、社会的な責任を果たすこと」にあります。
株主や投資家
近年は、ESG投資(環境・社会・ガバナンス)の観点から、企業の非財務情報も重視されます。
個人情報保護の体制不備による事故は、企業の評判や株価に直結するため、株主や投資家も「リスク管理体制」に注目しています。
利害関係者の要求事項を把握する
そして、これらの利害関係者が持つ「要求事項」を把握する必要があります。
要求事項には、法律で決まっていること(法令)や、官公庁が出しているガイドラインはもちろんのこと、取引先との間で交わされる「契約上の義務」や、業界団体が自主的に決めた「自主規制」なども含まれるとされています。
お客様からの「安心したい」という期待と、取引先からの「ルールを守ってほしい」という要求、その両方をきちんと整理し、理解することが、PMSが目指すべきゴールを明確にするために必要なのです。
J.1.3 法令、国が定める指針その他の規範
ここでは、個人情報の取り扱いに関連する法律、ガイドライン、条例などを特定し、それらを「参照する手順」を内部規程として文書化することが求められています。
つまり、「うちの会社は、これらの法律やルールを守ります」と宣言するだけでなく、「その法律やルールを、最新の状態で、いつでも確認できる仕組みを作っておきなさい」ということです。
これは、コンプライアンス(法令遵守)の基本中の基本ですね。
特定すべき法令等とは
まず、自社の事業に関係する法律やルールを「特定」する必要があります。
中心になるのは、もちろん「個人情報保護法」です。
しかし、それだけではありません。
例えば、
マイナンバー(個人番号)を取り扱うなら「番号法(マイナンバー法)」。
医療情報や健康情報を扱うなら「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」。
金融業界なら「金融分野における個人情報保護に関するガイドライン」。
ECサイトなどを運営していて、海外の顧客がいるなら「GDPR(EU一般データ保護規則)」など、国際的な法規が関係する可能性もあります。
さらに、事業所がある「地方公共団体が定める個人情報保護条例」も対象になる場合があります。
これらの法令等を、抜け漏れなくリストアップすることが第一歩です。
参照する手順を文書化する
次に、特定した法令などを、どうやって最新の状態に保ち、社内で必要な時に誰でも確認できるようにするか、その「手順」を決めて、内部規程(社内ルール)として文書に残しておく必要があります。
法改正は頻繁にありますから、「昔の法律のままだった」「改正されたことを知らなかった」ということのないよう、定期的に(例えば「四半期に一度」「関連省庁の発表があり次第」など)チェックする担当者や方法を決めておくことが重要です。
そして、指針では「参照」という言葉について、注意書きがあります。
「特定した法令等の内容を事業者が遵守することを含む」と。
見つけたら、ちゃんと守りなさい、ということですね。
当たり前のようですが、とても大切な心構えです。
J.1.4 個人情報保護マネジメントシステムの適用範囲の決定
いよいよ、構築するPMSを、どこまでの範囲で適用するのかを決める項目です。
結論から言うと、プライバシーマーク制度においては、適用範囲は「自らの事業の用に供している全ての個人情報の取り扱い」となります。
事業の用に供している全ての個人情報とは
これは非常に重要なポイントです。
「お客様の情報だけ」とか「Pマーク担当部署だけ」といった、会社の中の一部だけを対象とすることは原則として認められません。
「事業の用に供している」とは、営利・非営利を問わず、会社が何らかの事業活動のために利用している、という意味です。
例えば、以下のような情報も、すべて適用範囲に含まれます。
従業者の個人情報
社員の人事情報、給与情報、勤怠データ、健康診断の結果、緊急連絡先なども、会社が事業(雇用管理)のために使っている、立派な「事業の用に供している個人情報」です。
採用応募者の情報
採用活動で得た履歴書やエントリーシートなども、採用という事業活動のために取得・利用していますよね。
不採用になった方の情報をいつまで保管し、どう廃棄するかもルールの対象です。
取引先の担当者情報
名刺交換で得た情報や、打ち合わせの議事録に出てくる担当者名なども、取引という事業のために使っている情報です。
株主の情報
株主名簿なども、もちろん対象です。
もちろん、言うまでもなく、お客様やサービスの利用者情報も含まれます。
会社が持っている「個人情報」と名の付くものは、基本的に全てが対象になる、と考えるのが分かりやすいでしょう。
仮名加工情報なども対象
さらに、2023年版準拠の指針では、留意事項として、「仮名加工情報」「匿名加工情報」、そして「個人関連情報(当該個人関連情報が提供先の第三者において個人情報になることが想定される場合)」においても、PMSの適用範囲として定めることが明記されました。
技術の進展に合わせて、管理すべき情報の範囲も明確化されているわけです。
文書化と利用可能な状態にする
そして、この定めた適用範囲を「文書化」し、例えば社内イントラネットで公開するなど、関係者(特に従業者)が「利用可能な状態」にすることが求められています。
「うちの会社のPマークの範囲は、これら全部ですよ」「あなたは適用範囲の中で働いていますよ」と、はっきりと全従業員に示し、認識してもらう必要があるのです。
J.1.5 個人情報保護マネジメントシステム
J.1の最後は、この構築・運用指針(JIS Q 15001:2023準拠)に基づいて、PMSを確立し、実施し、維持し、かつ「継続的に改善」していくことを求めています。
ここで言う「継続的改善」とは、皆さんもよくご存知の、いわゆる「PDCAサイクル」を回していくことです。
Plan(計画)、Do(実施)、Check(評価)、Act(改善)ですね。
PMSは、一度作ったら終わり、という「完成品」ではありません。
「J.1.1 組織の状況」で見たように、法律(外部課題)も変われば、会社の体制(内部課題)も変わります。
そうした変化に対応して、PMSも常に見直し、より良いものにしていく「生き物」のようなものなのです。
J.1は、このPDCAを回していくための「前提整理」であり、「私たちのPMSが守るべき範囲とルールは、この社会状況と法律に基づいています」という土台を宣言するフェーズだったと言えるでしょう。
まとめ
いかがでしたでしょうか。
今回は、新しいPマーク構築・運用指針の、まさに「入り口」となる「J.1 組織の状況」について、その概要を紹介させていただきました。
J.1.1で、自分たちの「内外の課題」を把握し。
J.1.2で、「利害関係者」の期待を理解し。
J.1.3で、守るべき「法令」を特定し。
J.1.4で、守るべき「適用範囲」を決定し。
J.1.5で、これらを踏まえてPMSを「継続的に改善」していくことを宣言する。
このJ.1の5つのステップは、個人情報保護マネジメントシステム(PMS)という家を建てる前の、「土地調査」と「敷地確定」にあたる、非常に重要なプロセスです。
ここが曖昧なままでは、この後の「J.2 リーダーシップ(設計図と棟梁の決定)」や「J.3 計画(具体的な設計と工程表)」に進むことができません。
一見、文書作成や調査が多く、地味な作業に思えるかもしれませんが、この「前提条件」をしっかり固めることこそが、お客様や社会から「信頼」され続ける企業であるために、今、最も求められていることなのだと思います。
長くなりましたが、PMS構築の「入り口」の重要性が少しでも伝われば幸いです。
