個人情報保護マネジメントシステム構築・運用指針を徹底解説 -「J.4 支援」編-
最終更新日:2025/11/13
こんにちは。
ここでは、新しくなったプライバシーマーク(Pマーク)の「個人情報保護マネジSシテム構築・運用指針」について、セクションごとに紹介させていただいています。
前回は、「J.3 計画」について紹介しました。
PMSという家づくりにおいて、J.1で「土地調査」、J.2で「棟梁と理念」が決まり、J.3では「具体的な設計図と工程表」が完成しました。
「個人情報管理台帳」で守るべきものを全て特定し、「リスクアセスメント」で危険な箇所を洗い出し、「リスク対応計画」や「個人情報保護目的(目標)」を立てる、という内容でしたね。
さて、立派な「設計図(Plan)」が完成したところで、いよいよ「施工(Do)」の段階に入っていきます。
しかし、家を建てるには、現場で作業する大工さんや職人さん、そしてセメントや木材といった「資材」が不可欠です。
今回は、指針の4つ目のセクションである「J.4 支援」について、じっくりと中身を紹介していきたいと思います。
この「J.4 支援」は、PDCAサイクルの中では「D(実行)」の一部であり、PMSという家づくりを実際に進めるための「基盤」や「土台」を整備する、非常に重要なセクションです。
人、モノ、カネ、情報、そしてルール。
これらをいかに揃え、整備するかが、計画を「絵に描いた餅」にしないために問われます。
計画(J.3)を実行に移すためには、それを支える「基盤」が必要です。
「J.4 支援」セクションでは、PMSの構築・運用を支えるために必要な、ヒト・モノ・カネ・ルールに関する要求事項がまとめられています。
J.4.1 資源
どんなに立派な計画も、それを実行するための「資源(リソース)」がなければ始まりません。
指針では、PMSを確立し、実施し、維持し、かつ継続的に改善していくために必要な「資源」を、事業者が決定し、確保し、提供することを求めています。
この「資源」とは、具体的には以下のようなものを指します。
人員
PMSを運用するために必要なスキルを持った担当者や、監査を行う監査員など、「人」のことです。
J.2.1で、これらの資源を確保するのは「トップマネジメントの責任」であるとされていましたね。
組織基盤
これは、体制、規程、施設・設備などを指します。
例えば、個人情報保護管理者を任命するという「体制」や、ルールを定めた「内部規程」も資源です。
また、施錠管理ができるキャビネットや、セキュリティ対策が施されたサーバルームといった「施設・設備」も、重要な組織基盤(資源)です。
資金
セキュリティシステムを導入するための予算や、従業者に教育を行うための費用、Pマークの審査費用など、「お金」のことです。
トップマネジメントは、「Pマークは欲しい、でもお金は出さない」というわけにはいかないのです。
これらの資源をきちんと決定し、必要な場所へ提供することが、PMSを動かすための大前提となります。
J.4.2 力量
資源の中でも、特に重要なのが「人」です。
ただし、ただ「人」がいれば良いというわけではありません。
指針では、個人情報保護に影響を与える業務、つまり個人情報を取り扱う全ての従業者に対して、必要とされる「能力」、すなわち「力量(りきりょう)」を決定することを求めています。
「力量」とは、単に「知識がある」ということだけではありません。
その知識を理解し、実際の業務で「正しく行動できる能力」を指します。
力量を身につけるための処置
まず、業務ごとに「どのような力量が必要か」を決定します。
その上で、現状でその力量が不足している場合には、必要な能力を身につけるための「処置」をとる必要があります。
添付資料の解説(Wordファイル)にもあるように、この処置には、以下のようなものが含まれます。
教育
(J.4.3で紹介する、Pマークのための集合研修やeラーニングなど)
訓練
(例えば、情報漏えいを想定したインシデント対応訓練など)
指導
(OJT(オン・ザ・ジョブ・トレーニング)による、上司や先輩からの直接的な指導)
配置転換
(力量が不足しているうちは、重要な個人情報を扱わない業務に配置する、など)
力量を備えた者の雇用
(専門的な知識を持つ人材を、新たに採用する)
有効性の評価と記録
そして、ここが重要なのですが、「処置(教育など)を実施したら終わり」ではありません。
「とった処置の有効性を評価する」ことが求められます。
例えば、教育の後にテストを行い、理解度を確認する(J.4.3にも関連します)、訓練の後に振り返りを行う、などです。
もし評価の結果、力量が身についていないと判断されれば、追加の処置(補講など)が必要になります。
そして、これらの「力量の決定」「処置の実施」「有効性の評価」といった一連の活動は、その証拠として「記録」を残し、利用可能な状態にすることが求められます。
J.4.3 認識
「J.4.2 力量」が、主に業務スキルとしての「能力」を求めていたのに対し、「J.4.3 認識」は、従業者全員が持つべき「意識」や「心構え」に関する要求事項です。
PMSを成功させるためには、技術的なスキル(力量)と、保護意識(認識)の両方が必要なのです。
計画と実施
まず、従業者に対して、教育を実施する「手順」を内部規程として文書化することが求められます。
この手順には、教育の「理解度を確認する手順」も含む必要があります。
そして、J.3.3で策定した「教育実施計画」に基づき、「少なくとも年に1回」、及び必要に応じて適宜(例:新入社員の入社時、ルールの重大な変更時など)に教育を実施します。
対象者は「全従業者」
添付資料(Wordファイル)でも強調されていますが、この教育の対象者は、個人情報に触れる可能性のある「全従業者」です。
正社員だけでなく、
役員
契約社員
パートタイマー
アルバイト
派遣社員
なども、全て対象に含める必要があります。
会社の指揮監督下で働く全ての人が、同じ「認識」を持つことが重要なのです。
教育で認識させるべき4つの内容
指針では、この教育を通じて、従業者に「認識」させるべき(=単に知っているだけでなく、その重要性を理解し、自分ごととして捉えている状態)内容として、以下の4点を挙げています。
a) 個人情報保護方針
(J.2.2で定めた、トップの理念。「会社が何を大切にしているか」の共有です)
b) 個人情報保護マネジメントシステムに適合することの重要性及び利点
(「なぜ、ルールを守る必要があるのか」「守ることで、会社や自分たちにどんなメリットがあるのか(=信頼の獲得など)」の理解です)
c) 個人情報保護マネジメントシステムに適合するための役割及び責任
(「自分には、このPMSの中で、どのような役割と責任があるのか」の自覚です)
d) 個人情報保護マネジメントシステムに違反した際に予想される結果
(「もしルールを破ったら、どうなるか」。会社が受けるダメージ(信用の失墜、損害賠償)だけでなく、本人(お客様)が被る不利益、そして場合によっては自分自身が受ける罰則(就業規則違反など)も含みます)
理解度の確認(重要ポイント)
添付資料(Wordファイル)の解説にもある通り、教育の目的は「力量を身につけてもらうこと」にあります。
ですから、「ビデオを見せっぱなし」「資料を配っただけ」では不十分です。
小テストやアンケート、レポート提出などで「理解度」を確認し、もし理解が不足している従業者がいれば、補講を行うなどの「フォローアップ」を行うことが望ましい対応とされています。
J.4.4.1 コミュニケーション
PMSは、組織内部だけで完結するものではありません。
指針では、PMSを構築・運用するにあたり、内外の利害関係者(J.1.2で特定)と、意思疎通や情報共有(コミュニケーション)を行うことを求めています。
その際、以下の事項を考慮することが求められます。
a) コミュニケーションの内容
(何を伝達するか)
b) コミュニケーションの実施時期
(いつ伝達するか)
c) コミュニケーションの対象者
(誰に伝達するか)
d) コミュニケーションの実施者
(誰が伝達するか)
e) コミュニケーションの実施手順
(どうやって伝達するか)
f) コミュニケーションの実施方法
(どうやって伝達するか)
(※eとfはほぼ同義ですが、手順と具体的な媒体(メール、会議、Webサイトなど)と捉えると分かりやすいでしょう)
平常時のコミュニケーション
例えば、以下のようなものが挙げられます。
(外部へ)個人情報保護方針の公表(J.2.2)
(外部へ)本人からの開示等の請求等への対応(J.10)
(外部へ)本人からの苦情及び相談への対応(J.11)
(内部へ)トップマネジメントからのメッセージ発信(J.2.1)
(内部へ)内部通報やヒヤリハットの報告・連絡・相談
(内部へ)個人情報保護管理者から全社への周知
緊急時のコミュニケーション
そして、J.4.4.2で紹介する「緊急事態」が発生した際のコミュニケーションも、あらかじめ計画しておく必要があります。
J.4.4.2 緊急事態への準備
PMSを運用していても、事故やインシデント(漏えい、紛失、改ざんなど)が起こる可能性をゼロにすることはできません。
この項目は、「もしも」の時(緊急事態)に備えて、あらかじめ準備と対応手順を整備しておくことを求める、非常に重要な要求事項です。
緊急事態とは
指針の留意事項によれば、「個人情報保護リスクの脅威が顕在化した状況」を指します。
例えば、
サーバが不正アクセスを受け、個人情報が漏えいした(または、その疑いがある)
顧客情報が入ったUSBメモリやノートPCを紛失・盗難された
個人情報が記載された書類を、誤って別の取引先にファックス・メールしてしまった
従業者が、ルールに違反して個人情報を不正に持ち出した
といった状況です。
添付資料(Wordファイル)の解説にもある通り、Pマーク制度で報告が必要となる「事故等」は、個人情報保護法の定義(漏えい、滅失、毀損)よりも広く、目的外利用や不正取得といった「法令違反」なども含む9項目が対象となり得るため、広く備えておく必要があります。
緊急時にやるべきこと
指針では、緊急事態への準備として、以下のことを求めています。
1. 報告先の事前特定
緊急事態が発生した場合に、報告等が必要となる「関係機関」及び「利害関係者」を、あらかじめ特定しておくこと。
(関係機関の例)
・個人情報保護委員会
・プライバシーマーク付与機関(JIPDEC)
・審査を受けた審査機関
(利害関係者の例)
・本人(被害を受けた可能性のあるお客様など)
・委託元(預かった情報を漏えいさせた場合)
・委託先(委託先が原因で事故が起きた場合)
2. 手順の文書化
緊急事態を「特定するための手順」(=どうなったら「緊急事態」と判断するか)と、特定した緊急事態に「どのように対応するか」の手順を、内部規程として文書化すること。
3. 対応手順に含むべき事項
緊急事態が発生した場合に備え、対応手順には以下の事項を含むこと。
a) 本人への速やかな通知
(漏えいした可能性のある個人情報の内容などを、本人に速やかに知らせること)
b) 事実関係、発生原因、対応策の遅滞なき公表
(二次被害の防止や、類似事案の発生回避のため、可能な限り情報を公表すること)
c) 関係機関及び利害関係者への直ちの報告
(1で特定した相手先に、直ちに報告すること)
添付資料(Wordファイル)にもあるように、こうした手順を定め、対応体制(誰が、何を、どの順番でやるか)、人員、連絡方法などを内部規程や手順書にまとめ、従業者への教育や「訓練」(実際に事故が起きたと仮定して動いてみる)を行っておくことが、いざという時の迅速な対応につながります。
J.4.5.1 文書化した情報(一般)
ここからは、PMSを支える「ルールブック」と「活動記録」の管理に関する項目群です。
まずJ.4.5.1では、PMSを運用する上で、どのような「文書化した情報」が必要になるかを定義しています。
大きく分けると、以下の2種類です。
文書(ルールや計画)
a) 個人情報保護方針(J.2.2)
b) 内部規程(J.4.5.4で後述)
c) 内部規程に定める手順上で使用する様式(申請書や管理台帳のフォーマットなど)
d) 計画書(教育実施計画、内部監査実施計画など)
記録(活動の証拠)
e) 本指針が要求する記録(J.4.5.5で後述)
f) その他、事業者がPMSを実施する上で必要と判断した文書(記録を含む。)
J.4.5.2 文書化した情報の管理
J.4.5.1で定めた「文書」と「記録」を、適切に「管理」するための全般的な要求事項です。
管理する目的は、以下の2点を確実にするためです。
▼a) 必要な時に、必要な所で、入手可能かつ利用に適した状態であること
(ルールを見たい時に、どこにあるか分からない、古くて読めない、では困ります)
▼b) 十分に保護されていること
(例えば、機密性の喪失(部外者に見られる)、不適切な使用(権限なく使われる)、完全性の喪失(改ざんされる)から保護されていること)
そのために、管理にあたって以下の事項を実施することが求められます。
▼c) 配付、アクセス、検索及び利用
(誰が、どうやってその文書にアクセスできるかを管理する)
▼d) 読みやすさが保たれることを含む、保管及び保存
(適切な場所・媒体で保管する)
▼e) 変更の管理
(例えば、版(バージョン)の管理。どれが最新版か分かるようにする)
▼f) 保持及び廃棄
(いつまで保管し、期限が来たらどうやって廃棄するかを決めておく)
また、添付資料(Wordファイル)の解説にある通り、委託元からの指示書や、法律の条文など、自社で作ったものではない「外部からの文書」も、PMSの運用に必要なものは、特定し、管理の対象とする必要があります。
J.4.5.3 文書化した情報(記録を除く。)の管理
J.4.5.2の全般的な管理ルール(c~f)に加えて、「文書(記録を除く)」、つまり「規程」や「マニュアル」「計画書」といった、いわば「ルールブック」側に特化した管理ルールです。
以下の事項を含む「管理手順」を、内部規程として文書化することが求められます。
▼a) 文書の発行及び改正に関すること
(誰が文書を新規作成し、改正(修正)する権限を持つか)
▼b) 改正の内容と版数との関連付けを明確にすること
(「いつ」「どこが」「なぜ」変わったのかが分かるように、版数(Ver1.0 → Ver1.1など)と改正履歴を管理すること)
▼c) 必要な文書が必要なときに容易に参照できること
(最新版のルールが、社内イントラネットなどで、従業者から簡単に見られる状態になっていること)
▼d) 適切性及び妥当性に関する、適切なレビュー及び承認を行うこと
(文書を発行・改正する前に、その内容が実態に合っているか、ルールとして正しいかを、しかるべき権限を持つ人(個人情報保護管理者やトップマネジメントなど)がレビューし、承認すること)
J.4.5.4 内部規程
J.4.5.1で触れた「b) 内部規程」の、具体的な中身に関する要求事項です。
指針では、PMSを確実に適用するために、事業の内容に応じて個人情報保護の「ルールブック」となる「内部規程」を文書化することを求めています。
そして、指針の(J.4.5.4の)No.1には、最低限ルールとして定めるべき項目として、a) から o) までの「15項目」がリストアップされています。
例えば、
a) 個人情報を特定する手順に関する規定(J.3.1.1関連)
b) 法令…の特定、参照及び維持に関する規定(J.1.3関連)
c) リスクアセスメント及びリスク対応の手順に関する規定(J.3.1.3, J.3.1.4関連)
...
e) 緊急事態への準備及び対応に関する規定(J.4.4.2関連)
...
i) 教育などに関する規定(J.4.3関連)
...
o) 内部規程の違反に関する罰則の規定
など、PMSの根幹をなすルールが網羅されています。
添付資料(Wordファイル)の解説にもあるように、これら15項目を「15個の別々の規程」として作成する必要はありません。
事業者の実態に合わせて、「個人情報保護基本規程」「安全管理規程」「教育規程」といった形で、分かりやすく体系化することが可能です。
大事なのは、a)からo)までの全てのトピックが、自社のルール(内部規程)のどこかに、きちんと網羅されていることです。
J.4.5.5 文書化した情報のうち、記録の管理
J.4.5.1で触れた「e) 本指針が要求する記録」の、具体的な中身に関する要求事項です。
「文書(規程)」がルールブックであるのに対し、「記録」は、PMSを「ルール通りに運用した証拠」となるものです。
まず、「記録の管理についての“手順”」を内部規程として文書化することが求められます。
その上で、指針の(J.4.5.5の)No.2には、作成が必要な「記録」として、a) から k) までの「11項目」がリストアップされています。
例えば、
a) 法令…の特定に関する記録(J.1.3関連。特定した法令リストなど)
b) 個人情報の特定に関する記録(J.3.1.1関連。個人情報管理台帳そのもの)
c) リスクアセスメント及びリスク対応に関する記録(J.3.1.3, J.3.1.4関連。アセスメントシートや対応計画書など)
...
e) 教育などの実施記録(J.4.3関連。受講者名簿やテスト結果など)
g) 緊急事態への対応記録(J.4.4.2関連。インシデント報告書など)
i) 内部監査の記録(J.6.2関連。監査報告書など)
j) マネジメントレビューの記録(J.6.3関連。議事録など)
k) 不適合及び是正処置の記録(J.7.1関連。是正処置報告書など)
これらが「Pマークを運用している」という客観的な証拠(エビデンス)になります。
審査(内部監査や、Pマークの審査機関による外部審査)では、これらの「記録」がきちんと作成され、管理されているかが、厳しくチェックされることになります。
まとめ
いかがでしたでしょうか。
今回は、新しいPマーク構築・運用指針の「J.4 支援」について、その概要を紹介させていただきました。
J.4は、J.3で立てた「計画(P)」を、J.5で「実行(D)」に移すために、その土台を固める、非常に重要なセクションでした。
J.4.1で「資源(ヒト・モノ・カネ)」を確保し、
J.4.2とJ.4.3で、最も重要な資源である「人」の「力量(スキル)」と「認識(意識)」を高め、
J.4.4.1で「コミュニケーション」の経路を整備し、
J.4.4.2で「緊急事態」への備えを固め、
J.4.5で、これら全ての活動の拠り所となる「文書(ルール)」と「記録(証拠)」を整備・管理する。
この「支援」体制がしっかりしているからこそ、組織は安心して日々の「運用(J.5)」に取り組むことができるのです。
家づくりで言えば、資材が搬入され、腕利きの職人さんたちが集まり、安全管理のルールも決まり、いよいよ本格的な工事(J.5 運用)が始まる、といったところでしょうか。
長くなりましたが、PMSを「支える」基盤の重要性が少しでも伝われば幸いです。
