---

個人情報保護マネジメントシステム構築・運用指針を徹底解説　－「J.11 苦情及び相談への対応」編－

---

こんにちは。

このシリーズでは、新しくなったプライバシーマーク（Pマーク）の「個人情報保護マネジメントシステム構築・運用指針」について、セクションごとに紹介させていただいています。

前回は、「J.10 個人情報に関する本人の権利」について紹介しました。

個人情報の「持ち主」である本人が持つ、

「利用目的の通知（J.10.4）」

「開示（J.10.5）」

「訂正等（J.10.6）」

「利用停止等（J.10.7）」

といった、法律や指針で定められた「公式な権利」の行使に対して、事業者がどう応えるべきか、その「手順（J.10.2）」や「周知（J.10.3）」を含めた、非常に重要なルールでしたね。

さて、J.10で紹介したのは、本人からの「権利行使」という、どちらかというと公式で、法的な「請求」への対応でした。

しかし、日々の業務においては、そこまで堅苦しくない、

「私の情報、ちゃんと管理されてますか？」

「この前送られてきたメールマガジンは、どういう根拠で送っているのですか？」

「個人情報の取り扱いについて、ちょっと聞きたいことがあるのですが…」

といった、日常的な「苦情」や、漠然とした不安から来る「相談」も寄せられるはずです。

今回は、指針の11番目のセクションであり、要求事項としては最後となる「J.11 苦情及び相談への対応」について、じっくりと中身を紹介していきたいと思います。

このJ.11は、PMS（個人情報保護マネジメントシステム）の運用において、本人（お客様、従業者など）との、最も直接的で、最も日常的な「接点（窓口）」を、いかに誠実に運営するかを定めたルールです。

J.10が「法的な権利」の窓口だとすれば、J.11は「信頼関係」を築くための窓口と言えるかもしれません。

「J.11 苦情及び相談への対応」セクションは、項目としては「J.11.1 苦情及び相談への対応」の一つだけです。

しかし、この一つの項目には、個人情報保護に対する企業の「姿勢」そのものが問われる、非常に重い意味が込められています。

J.1からJ.10までで、どれだけ立派な「家（PMS）」を建て、どれだけ厳格な「ルール（J.8, J.9）」を定めても、このJ.11の「窓口」の対応がずさんであれば、本人（お客様）からの信頼は、一瞬で失われてしまうからです。

J.11.1 苦情及び相談への対応

この項目では、事業者が、

「個人情報の取扱い」及び「個人情報保護マネジメントシステム（PMS）」に関して、

本人からの「苦情」及び「相談」を受け付けて、

「適切」かつ「迅速」に対応することを求めています。

対象となるのは、「個人情報の“取り扱い”そのもの」（例：「目的外利用された」「漏えいした」）に対する苦情だけでなく、

「“PMSそのもの”」（例：「御社の個人情報保護方針が分かりにくい」「開示請求の手続きが複雑すぎる」「そもそも、ちゃんと管理体制があるのか？」）

といった、仕組み全体に関する苦情や相談も、広く受け止める必要がある、という点がポイントです。

指針では、この要求に応えるために、事業者が実施すべきことを、4つのステップ（No.1～No.4）で示しています。

1. 手順の文書化

まず、指針のNo.1では、

「本人からの苦情及び相談を受け付けて、適切かつ迅速な対応を行う手順」

を、「内部規程として文書化する」

ことを求めています。

「手順を文書化する」と聞くと、J.10.2（開示等の請求等に応じる手続）と似ているな、と思われるかもしれません。

J.10.2が「本人確認」や「手数料」など、公式な「請求」に対応するための、どちらかというと厳格な「手続き」を定めたのに対し、

J.11.1の「手順」は、より間口が広く、日常的な「苦情」や「相談」を、

「どのように受け付け」

「受け付けた後、社内の誰に引き継ぎ」

「事実関係をどう調査し」

「いつまでに、どのような形で本人に回答し」

「その対応をどう記録するか」

といった、一連の「社内業務フロー」を定めることを指します。

ここで重要なのが、「適切」かつ「迅速」というキーワードです。

「適切」とは

本人に寄り添い、誠実に対応することです。

面倒くさそうな態度をとったり、部署間で「たらい回し」にしたりするようなことは、最も避けなければならない対応です。

「迅速」とは

いたずらに本人を待たせないことです。

もちろん、調査に時間がかかる場合もありますが、その場合でも、「まずは受け付けた旨を連絡する」「調査に〇日ほどかかる見込みです」といった、中間報告を入れる配慮が求められます。

社内で、回答までの「標準的な期間（目安）」を決めておくことも、「迅速」な対応のための有効な手順となります。

2. 体制の整備

次に、指針のNo.2では、

「適切かつ迅速な対応を行うための体制を整備する」

ことを求めています。

「手順（ルールブック）」を作っただけでは、窓口は機能しません。

添付資料（Wordファイル）の解説にもある通り、「体制の整備」とは、具体的には、

窓口の設置

（例：専用の電話番号、メールアドレス、Webフォームの設置）

要員の配置

（その窓口に、実際に対応する「人」を配置すること）

手順の確立

（No.1で文書化した手順を、担当者が実行できるように周知・徹底すること）

といった、物理的・人的な準備を指します。

特に重要なのが「要員（担当者）」です。

添付資料（Wordファイル）の解説では、「対応要員の教育訓練を行うなどの工夫が必要」とされています。

なぜなら、J.11の窓口は、J.10の「請求」窓口とは異なり、時には本人の強い「怒り（苦情）」や、漠然とした「不安（相談）」を、真正面から受け止める、非常にデリケートな役割を担うからです。

担当者には、個人情報保護の「専門知識（J.4.2 力量）」や「保護意識（J.4.3 認識）」はもちろんのこと、本人の話を傾聴し、冷静に、かつ共感を持って対応する「コミュニケーションスキル」も、強く求められるのです。

3. 申出先の周知

次に、指針のNo.3では、

「苦情及び相談の申出先」

を、「本人の知り得る状態に置く」

ことを求めています。

これは、J.10.3（保有個人データに関する事項の周知など）の d) や e) で求められていたことと、全く同じ要求です。

「手順（No.1）」と「体制（No.2）」を整えても、その「窓口」の存在を本人（お客様）が知らなければ、意味がありません。

「本人の知り得る状態」とは、一般的には、自社のウェブサイトの「プライバシーポリシー」や「個人情報の取り扱いについて」のページに、

「個人情報に関する苦情・相談窓口」

として、専用の電話番号、メールアドレス、Webフォームへのリンクなどを、分かりやすく記載しておくことを指します。

（J.10.2で定めた「開示等の請求窓口」と、このJ.11.1の「苦情・相談窓口」は、結果として同じ窓口（例：「個人情報お問い合わせ窓口」）が兼ねるケースが多いですが、指針上は、異なる目的の窓口として、両方の役割を果たすことが求められています）

また、もし事業者が「認定個人情報保護団体」の対象事業者である場合は、

「当該団体の苦情解決の申出先も含む」

必要があります。

これは、本人にとって、「何かあった時に、事業者（当事者）だけでなく、中立的な第三者機関にも相談できる」という、大きな「安心感」につながります。

4. 苦情及び相談への対応の実施

そして、指針のNo.4は、

「苦情及び相談への対応を実施すること」

と、シンプルに「実行（Do）」を求めています。

No.1～No.3で整備した「手順」「体制」「周知」を、絵に描いた餅にせず、実際に寄せられた「声」に対して、誠実に対応（運用）しなさい、ということです。

そして、この「対応」には、必ず「記録」が伴います。

J.4.5.5（記録の管理）の f) で、「苦情及び相談への対応記録」を作成・管理することが求められていました。

「いつ、誰から、どのような苦情（相談）があり、どのように調査し、いつ、誰が、どのような回答をしたか」

という一連の対応履歴を、きちんと「記録」として残すことが、適切に対応した「証拠（エビデンス）」になると同時に、この後で紹介する、最も重要な「改善」活動のための、貴重な「財産」となります。

5. 苦情・相談の「改善」への活用（PDCAサイクルへの連携）

さて、J.11.1の要求事項は、表面的には「対応を実施すること（No.4）」で終わりです。

しかし、Pマーク（PMS）の真価は、ここから始まります。

寄せられた「苦情」や「相談」といった「本人の生の声」は、単に対応して「クローズ」すれば終わり、という「コスト」ではありません。

これこそが、J.7.2「継続的改善」で紹介した、PMSをより良くしていくための、最も貴重な「改善の機会（宝の山）」なのです。

このJ.11の活動は、PDCAサイクルの他のプロセスと、以下のように密接に連携しています。

C（Check）へのインプット

J.11で受け付けた「苦情及び相談への対応記録」は、J.6「パフォーマンス評価」における、最も重要な「インプット（評価材料）」の一つとなります。

特に、J.6.3「マネジメントレビュー」において、トップマネジメントは、No.3 d)「利害関係者からのフィードバック」として、これらの「苦情・相談」の傾向（例：「今月は〇〇に関する相談が急増している」）や、重大な苦情の内容について、必ず報告を受け、レビュー（評価）する必要があります。

A（Act）へのインプット

そして、その「C（Check）」の結果、トップマネジメントや個人情報保護管理者が「これは問題だ」と判断すれば、J.7「改善」のアクションにつながります。

・もし、苦情の内容が、明らかに「ルール違反（不適合）」であった場合（例：「同意なく目的外利用された」など）

→ J.7.1「不適合及び是正処置」のプロセスに乗り、直ちに「修正（対処）」するとともに、「原因」を究明し、「再発防止策（是正処置）」を講じる必要があります。

・もし、不適合とまでは言えなくても、「ルールが分かりにくい」「手続きが面倒だ」といった「改善の機会」であった場合

→ J.7.2「継続的改善」の活動として、次回のPMSの見直し（次のP）に反映させることになります。

このように、J.11の「苦情・相談窓口」は、単なる「ガス抜き」の窓口ではなく、PMS全体のPDCAサイクルを回すための、重要な「起点（インプット）」としての役割を担っているのです。

まとめ

いかがでしたでしょうか。

今回は、新しいPマーク構築・運用指針の、最後の要求事項である「J.11 苦情及び相談への対応」について、その概要を紹介させていただきました。

「苦情」と聞くと、ネガティブなイメージを持つかもしれません。

しかし、PMSの運用において、本人（お客様）からの「声（苦情・相談）」は、J.6.2の「内部監査」やJ.6.1の「日常点検」では見つけられなかった、組織の「弱点」や「改善のヒント」を、外部の視点から教えてくれる、非常に貴重な情報源です。

このJ.11の窓口を、「クレーム処理係」としてではなく、本人との「信頼構築の接点」であり、PMSを「継続的改善」させるための「センサー」として、前向きに整備・運用すること。

それこそが、指針の最後を締めくくるJ.11が、私たち事業者に求めている「姿勢」なのだと思います。

さて、J.1「組織の状況（前提）」から始まり、J.2「リーダーシップ（体制）」、J.3「計画（P）」、J.4「支援（Dの基盤）」、J.5「運用（D）」、J.6「パフォーマンス評価（C）」、J.7「改善（A）」という、PMSの「PDCAサイクル（家の建て方）」を紹介しました。

そして、J.8「取得、利用及び提供に関する原則」、J.9「適正管理」、J.10「個人情報に関する本人の権利」、そして今回のJ.11「苦情及び相談への対応」という、PMSの中で取り扱う「具体的なルール（家の財産の扱い方）」を紹介しました。

この「J.1」から「J.11」までの全ての要求事項を、J.7.2「継続的改善」の精神で、毎年、あるいは日々、ぐるぐると回し続けること。

それが、プライバシーマーク（PMS）の「構築・運用」そのものであり、決して終わりのない活動（旅）です。

この紹介を通じて、皆さんの会社のPMSを今一度見直し、お客様や社会から「信頼」され続ける企業であるための一助となれば、これほど嬉しいことはありません。

最後までお付き合いいただき、ありがとうございました。