個人情報保護マネジメントシステム構築・運用指針を徹底解説 -「J.3 計画」編-
最終更新日:2025/11/13
こんにちは。
ここでは、新しくなったプライバシーマーク(Pマーク)の「個人情報保護マネジメントシステム構築・運用指針」について、セクションごとに紹介させていただいています。
前回は、「J.2 リーダーシップ」について紹介しました。
PMSという家づくりにおいて、J.1で「土地調査」が完了し、J.2では「誰が棟梁(とうりょう)になるのか(トップマネジメントの責任)」、そして「どんな理念の家を建てるのか(個人情報保護方針)」という、家づくりの「責任」と「方針」が決まりましたね。
さて、棟梁と理念が決まったところで、次はいよいよ「具体的な設計図と工程表」を作成する段階に入ります。
今回は、指針の3つ目のセクションである「J.3 計画」について、じっくりと中身を紹介していきたいと思います。
この「J.3 計画」は、PMSのPDCAサイクルにおける、まさに「P(Plan)」の核心部分です。
ここでどれだけ緻密な計画を立てられるかが、この後の「D(実行)」、「C(評価)」、「A(改善)」全ての品質を左右すると言っても過言ではありません。
少し項目が多いセクションですが、PMS運用の「キモ」とも言える重要な部分ですので、ぜひお付き合いください。
さあ、PMSを動かすための前提(J.1 組織の状況)と、推進体制(J.2 リーダーシップ)が整いました。
いよいよ、具体的な行動計画を立てるセクション、「J.3 計画」です。
ここでは、会社が抱える個人情報保護の「リスク」を洗い出し、それに対する「対策」を考え、「目標」を設定していきます。
J.3.1.1 個人情報の特定
計画の第一歩は、「J.1.4 適用範囲」で定めた範囲の中にある個人情報を、具体的に洗い出す作業から始まります。
家づくりで言えば、設計図を描く前に「どの部屋に何を置くのか」「水回りはどこか」といった、家の中身を全てリストアップする作業に似ています。
「何を守るべきか」が分からなければ、守りようがないからですね。
「自分たちが一体、どんな個人情報を、どこから取得し、何のために使い、どこに保管しているのか」を、全て把握することが目的です。
指針では、この特定作業を漏れなく行うための「手順」を、まず内部規程として文書化することを求めています。
そして、特定した結果を管理するために、「個人情報管理台帳」を整備することを求めています。
個人情報管理台帳とは
これは、社内にある個人情報を一覧化し、その取り扱い状況を「見える化」するための、非常に重要な管理台帳(リスト)です。
この台帳があることで、どこにどんなリスクがあるのかを把握する、この後の「リスクアセスメント(J.3.1.3)」の基礎資料となります。
この台帳には、少なくとも以下の項目を含む必要があります。
個人情報の項目
(例:「氏名」「住所」「電話番号」「メールアドレス」「生年月日」「顧客ID」「マイナンバー」「健康診断結果」など、具体的に記載します)
利用目的
(例:「商品発送のため」「お問い合わせ対応のため」「従業者の給与計算及び社会保険手続きのため」など、J.8.1で特定した利用目的を記載します)
保管場所
(例:「営業部サーバの顧客DB内」「クラウド上の〇〇システム内」「人事部内の施錠されたキャビネット」など、物理的な場所やシステム名を具体的に記載します)
保管方法
(例:「アクセス制限あり(営業部員のみ)」「パスワードによる保護」「紙媒体で施錠ファイル保管」など、管理の方法を記載します)
アクセス権を有する者
(例:「営業部員全員」「人事部長及び担当者2名のみ」など、誰がその情報に触れるかを明確にします)
利用期限
(その情報を「利用」する必要がなくなる時期。例えば「契約終了時まで」などです)
保管期限
(その情報を「保管」し続ける期限。法律で保管が義務付けられている期間や、社内規定で定めた期間。「契約終了後5年間」など、利用が終わった後、いつまで保管しておくか、です)
管理する個人情報の件数
(「概数でも可」とされています。「約1万件」「約500名分」など、リスクの大きさを測る目安となります)
JIS Q 15001本体とPマーク指針の違い(重要ポイント)
ここでPマークの運用において、一つ注意点があります。
添付資料(docx)の解説にもありますが、大元のJIS Q 15001:2023本体の規格では、管理項目から「利用期限」の記載が削除されました。
これは、「保管期限」の概念に集約されたと解釈されます。
しかし、プライバシーマーク制度のこの「構築・運用指針」では、留意事項として、従来通り「利用期限」と「保管期限」が異なる場合は、それぞれを台帳に記載する必要があるとされています。
Pマークを取得・維持する上では、情報を「いつまでアクティブに使い(利用期限)」「いつまで保管し(保管期限)」「いつ廃棄するのか」を、引き続き明確に管理することが重要なのです。
2023年版準拠での追加項目(重要ポイント)
さらに、今回の指針で、台帳で管理すべき項目に「管理すべき個人情報の件数(概数でも可)」が新たに追加されました。
これは、JIS Q 15001:2023にはない、Pマーク独自の要求事項です。
考えてみれば、「100件の情報」と「100万件の情報」では、万が一漏えいした際の影響(リスク)が全く異なりますよね。
「だいたい何件くらい」の個人情報を持っているのかを把握することが、リスクの大きさを認識する上で重要だ、ということですね。
台帳は「最新」に保つ
この台帳は、一度作ったら終わり、ではありません。
事業を行っていれば、新しいサービスが始ったり、新しいシステムを導入したりして、取り扱う個人情報は日々変化していきます。
そのため、「少なくとも年に1回」、及び必要に応じて適宜(例:新しい業務で新しい個人情報を取得し始めた時など)台帳の内容を確認し、常に最新の状態を維持することが求められています。
J.3.1.2 リスク及び機会に対処する活動
個人情報管理台帳で「守るべきもの」が明確になったら(J.3.1.1)、次は「リスク及び機会に対処する活動」の計画です。
これは少し分かりにくい項目名かもしれませんが、要するに、この後のJ.3.1.3(リスクアセスメント)とJ.3.1.4(リスク対応)という一連の活動が、「何のために行われるのか」という、計画全体の「目的」を示す項目です。
指針では、J.1.1で把握した「課題」や、J.1.2で特定した「利害関係者の要求事項」を考慮して、次の事項を実現できるように、アセスメントと対応を行いましょう、と定めています。
a) 事業者が意図した成果を達成できるようなマネジメントシステムの策定
(PMSがきちんと機能し、個人情報を守れるようにすること)
b) 望ましくない影響の防止
(情報漏えいなどの事故や、本人の権利を侵害するといった、望ましくないことを防ぐこと)
c) 個人情報保護マネジメントシステムの継続的な改善
(PDCAを回して、仕組みをより良くし続けること)
これらの目的を達成するために、具体的な「対策」を決め、「どう実施するか」の方法を定め、「その対策が有効だったか」を評価する方法も計画に含めることが求められています。
J.3.1.3 個人情報保護リスクアセスメント
さて、いよいよPMSの「キモ」とも言える活動、「個人情報保護リスクアセスメント」です。
J.3.1.1の台帳で特定した個人情報一つひとつについて、「どこに危険が潜んでいるか」を科学的に分析・評価するプロセスです。
家づくりで言えば、設計図に対して「地震が来たらどこが危ないか」「火事になったらどうなるか」「泥棒に入られやすい窓はないか」と、あらゆる危険性をシミュレーションする作業にあたります。
指針では、このアセスメント(特定、分析、評価)を行うための「手順」を定め、実施し、その手順と実施内容を「少なくとも年に1回」、及び必要に応じて見直すことを求めています。
リスク基準を決める
まず、何をもって「リスクが高い」とするかの「モノサシ(リスク基準)」を決めます。
このモノサシがないと、人によって「これは危険だ」「これは大丈夫」という判断がバラバラになってしまいます。
指針では、リスク基準として以下の観点を含むように求めています。
1) 本人の権利利益の侵害
(その情報が漏れたり、間違って使われたりしたら、本人(個人情報の持ち主)がどのような不利益を被るか。例えば、財産的な損害、精神的な苦痛、社会的信用の失墜など。これが最も重要な観点の一つです)
2) 本指針に定める事項
(この構築・運用指針で求められている要求事項に違反する可能性)
3) 法令及び国が定める指針その他の規範に関する事項
(J.1.3で特定した法律やガイドラインに違反する可能性)
4) 個人情報の漏えい、紛失、滅失・毀損、改ざん、正確性の未確保、不正・不適正取得、目的外利用・提供、不正利用、開示等の求め等の拒否に関する事項
(個人情報の取り扱いにおける、あらゆる「良くないこと」の可能性)
これらを基準(モノサシ)として、リスクを測っていくわけです。
リスクの特定
次に、リスク基準に基づき、個人情報のライフサイクル(取得、保管、利用、移送、送信、消去・廃棄など)の各局面において、「もし適切な保護措置を講じなかったら、どんな悪いことが起こりうるか」を具体的に洗い出します(リスクの特定)。
例えば、
「(取得時)利用目的を伝え忘れる」
「(移送時)従業員がUSBメモリで顧客情報を持ち出し、電車で紛失する」
「(保管時)サーバが外部から攻撃され、データが改ざんされる」
「(廃棄時)古い書類がシュレッダーされずに、そのままゴミ箱に捨てられる」
など、考えうる脅威と脆弱性(弱点)を洗い出します。
また、そのリスクに対応する責任者(リスク所有者)も特定します。
リスクの分析・評価
洗い出したリスクを、先ほど決めた「リスク基準」と照らし合わせて比較します。
そして、そのリスクの「大きさ(例えば、発生可能性(高・中・低)× 影響度(大・中・小)など)」を分析・評価します。
これにより、「すぐに対策が必要な、大きくて緊急性の高いリスク(例:発生可能性は低いが、影響度が甚大)」や、「影響は小さいが、頻繁に発生しそうなリスク(例:発生可能性は高いが、影響度は小)」などが「見える化」されます。
この結果に基づき、どのリスクから優先的に対応すべきか、「優先順位」を明確にします。
注意点:法令違反リスクは全て対応(重要ポイント)
ここで非常に重要な注意点があります。
アセスメントの結果、「優先順位が低いリスク」が見つかったとします。
しかし、それは「対応しなくてよい」という意味ではありません。
特に、個人情報保護法などの「法令等の違反リスク」については、優先順位に関わらず、全て対応する必要があります。
指針の留意事項にもありますが、「個人情報の不適切な取扱い(不正な取得・利用など)に関するリスクについては、法令遵守の観点から、全て対応する必要がある」とされています。
「法令違反だけど、優先順位が低いから後回し」は、Pマークの考え方では許されないのです。
J.3.1.4 個人情報保護リスク対応
リスクアセスメントでリスクの大きさと優先順位が明らかになったら(J.3.1.3)、次はそのリスクに「どう対処するか」の計画(個人情報保護リスク対応)を策定し、実施します。
「このリスクには、こういう対策(管理策)を講じよう」という具体的なアクションプランですね。
地震対策のシミュレーション(アセスメント)で「この壁が弱い」と分かったら、「ここに補強材を入れる」という対策(リスク対応)を決めるのと同じです。
この対応手順も、内部規程として文書化し、実施し、適宜見直すことが求められます。
対応計画の策定と実施
アセスメントの結果を考慮して、必要な対策(この指針で求められている対策や、事業者が独自に必要と判断した対策)を盛り込んだ「対応計画」を策定し、実施します。
計画には、具体的な対策内容(例:〇〇システムへのアクセス権限の見直し)、責任者(例:情報システム部長)、実施スケジュール(例:〇月〇日まで)などを含めます。
トップマネジメントの承認
そして、この「対応計画」と「実施した内容」については、「原則として、トップマネジメントの承認を得る」ことが求められています。
(J.2.4 管理目的及び管理策(一般)で、この承認の手順を定めることが求められていましたね)
リスクへの対応は、時としてコストや業務プロセスの変更を伴うため、現場レベルの判断だけでなく、経営層が組織として正式に決定・承認したものであることを明確にするためです。
残留リスクの管理(重要ポイント)
様々な対策を講じても、リスクを完全にゼロにすることは難しい場合があります。
(例えば、コストがかかりすぎる、技術的に現時点では不可能、あるいは対策を講じることで業務が完全に停止してしまう、など)
対策を実施しても、なお残ってしまうリスクのことを「残留リスク」と呼びます。
この残留リスクについても、きちんと把握し、管理することが求められます。
ここで、Pマークの運用における、もう一つの重要な注意点があります。
指針の留意事項には、「残留リスクとは、受容するリスク(放置しておいてよいリスク)ではなく、現時点では困難であるが、短期的若しくは中長期的に対応していくリスクのことである」と明確に書かれています。
つまり、「これは残留リスクだから仕方ないね」と諦めて放置するのではなく、「今はここまでしかできないが、今後も継続して見直し、技術の進歩や予算の状況に応じて、対応を検討していく」という姿勢が求められるのです。
そして、J.3.1.3の注意点と同様に、「法令違反リスク」を「残留リスク」として扱うことは認められません。
法律違反は、ゼロにする(対応する)のが大原則です。
J.3.2 個人情報保護目的及びそれを達成するための計画策定
リスクへの対応(守りの計画)と並行して、J.2.2で定めた「個人情報保護方針」を達成するための、より具体的な「目的(目標)」を設定します。
これを「個人情報保護目的」と呼びます。
(J.2.1で、この目的を確立することがトップの責任であるとされていましたね)
この目的は、「全社的」なものでも良いですし、方針をブレイクダウンして、「部門ごと」に設定しても構いません。
J.3.1.3のリスクアセスメントの結果(「うちの会社は、ここが弱い」という分析結果)も踏まえて、設定することが望ましいです。
例えば、
(方針)「個人情報の漏えい、滅失又は毀損の防止及び是正に努めます」
(リスク)「ヒューマンエラーによるUSBメモリの紛失リスクが高い」
↓
(目的)「今年度の個人情報漏えい事故(ヒューマンエラー起因)をゼロ件にする」
(方針)「従業者の意識向上を図ります」(J.4.3 認識 に関連)
(リスク)「中途採用者への教育が不十分」
↓
(目的)「全従業者(派遣社員含む)の個人情報保護教育の受講率を100%にする」
(方針)「苦情及び相談への対応を迅速に行います」(J.11.1 に関連)
(リスク)「本人からの開示請求への対応が遅れがち」
↓
(目的)「本人からの開示等請求に対し、社内ルールで定めた期間(例:10営業日)以内での回答率を95%以上にする」
といった、なるべく具体的で、達成度が測れるような目標が望ましいでしょう。
そして、その目的を達成するために、「何を(実施事項)」「何を使って(必要な資源)」「誰が(責任者)」「いつまでに(達成期限)」「どう評価するか(結果の評価方法)」という、具体的な「計画」を策定します。
J.3.3 計画策定
J.3では、PMSを確実に実施し、PDCAサイクルを回していくために、少なくとも「年に1回」、及び必要に応じて、各種の計画を立案し、文書化することを求めています。
J.3.2で定めた「目的達成のための計画」もこれに含まれますが、指針で特に具体的に例示されているのは、以下の2つです。
a) 教育実施計画
(J.4.3 認識 に関連します。従業者向けの個人情報保護教育を、いつ、誰に(例:新入社員、管理者、全従業者)、どのような内容(例:基本ルール、事故事例)で、どのような方法(例:eラーニング、集合研修)で実施するか、という計画です)
b) 内部監査実施計画
(J.6.2 内部監査 に関連します。PMSがルール通りに、かつ有効に機能しているか、いつ、どの部署を、誰が(監査員)監査するか、という計画です)
これらは、PMSを継続的に運用していく上で、車輪の両輪とも言える重要な計画です。
これらを毎年きちんと計画し、文書化することが求められています。
J.3.4 変更の計画策定
J.3の最後は、JIS Q 15001:2023に準拠した指針で、新たに追加された項目(6.4)に対応するものです。
「J.1.1 組織の状況」で見たように、会社を取り巻く環境(外部課題)や、会社の中の状況(内部課題)は、常に変化します。
組織再編、事業内容の大幅な変更、新しいシステムの導入、あるいは今回の指針改定のように、PMSの前提となるルールそのものが変わるなど、PMSに「変更」が必要となる場合があります。
そのような場合、その変更が業務に支障をきたしたり、新たなリスクを生んだりしないよう、「事前に計画を立てて」変更を行うことを求める、という内容です。
いきなりルールを変えて現場を混乱させるのではなく、
「その変更がPMSにどのような影響を与えるか」
「変更に伴って新たなリスクは発生しないか」
「誰がいつ、どのように変更作業を行うか」
「従業員への周知や教育はいつ行うか」
といったことを、あらかじめ計画し、管理しながら変更プロセスを進めることの重要性が示されたと言えます。
まとめ
いかがでしたでしょうか。
今回は、新しいPマーク構築・運用指針の「J.3 計画」について、その概要を紹介させていただきました。
J.3は、PMSの「設計図」と「工程表」を作る、非常に重要なセクションでした。
J.3.1.1で、「何を守るか」を「個人情報管理台帳」で全て特定し。
J.3.1.3で、「どこが危ないか」を「リスクアセスメント」で科学的に分析・評価し。
J.3.1.4で、「どう守るか」を「リスク対応計画」として策定する(この時、法令違反は残留リスクにできない)。
そして、J.3.2で、「どういう状態を目指すか」という「個人情報保護目的」を設定する。
この一連の流れが、PMSの「P(Plan)」の核心そのものです。
特に「リスクアセスメント」と「リスク対応」(そしてPマーク独自の「残留リスク」の考え方)は、Pマーク運用の「キモ」であり、毎年継続的に見直していく必要があります。
この「計画(P)」がしっかりしているからこそ、この後の「J.4 支援(資源、教育など)」や「J.5 運用(実際の業務)」といった「実行(D)」が意味を持つのです。
長くなりましたが、PMSの「設計図」づくりの重要性が少しでも伝われば幸いです。
