個人情報保護マネジメントシステム構築・運用指針を徹底解説 -「J.5 運用」編-
最終更新日:2025/11/13
こんにちは。
ここでは、新しくなったプライバシーマーク(Pマーク)の「個人情報保護マネジメントシステム構築・運用指針」について、セクションごとに紹介させていただいています。
前回は、「J.4 支援」について紹介しました。
PMSという家づくりにおいて、「J.3 計画」で作成した設計図(Plan)をもとに、J.4では家を建てるための「基盤」を固めるステップでした。
具体的には、J.4.1で「資源(ヒト・モノ・カネ)」を確保し、J.4.2とJ.4.3で最も重要な資源である「人」の「力量(スキル)」と「認識(意識)」を高め、J.4.4で「コミュニケーション」や「緊急事態への備え」を整え、J.4.5で活動の拠り所となる「文書(ルール)」と「記録(証拠)」を整備しました。
さて、棟梁(J.2 トップ)の号令のもと、設計図(J.3 計画)が完成し、資材や腕利きの職人さん(J.4 支援)も揃いました。
いよいよ、本格的な「施工(工事)」の段階に入ります。
今回は、指針の5つ目のセクションである「J.5 運用」について、じっくりと中身を紹介していきたいと思います。
この「J.5 運用」は、PDCAサイクルの中では、まさに「D(Do)=実行」の核心部分です。
計画したことを、いかにして日々の業務の中で確実に行動に移していくか、そのための要求事項が定められています。
「J.5 運用」セクションは、「J.5.1 運用」という、たった一つの項目だけで構成されています。
しかし、項目が一つだからといって内容が薄いわけでは、決してありません。
むしろ、「J.3 計画」で立てた全ての計画と、「J.4 支援」で整備した全ての基盤を、ここで「動かす」という、PMSの心臓部とも言える非常に重要な役割を担っています。
家づくりで言えば、「設計図通りに、資材と職人を使って、実際に家を建てていくプロセス全体」が、この「J.5 運用」にあたります。
J.5.1 運用
この項目では、J.3で計画したことを、J.4の支援を受けながら、日々の業務(運用)の中で、いかに「計画通りに」「管理しながら」実施していくかが求められています。
具体的に求められている内容を、分解して見ていきましょう。
1. 運用の手順を内部規程として文書化する
まず、No.1で求められているのは、「運用の手順」を内部規程として文書化することです。
J.3で「何をやるか(計画)」を決め、J.4.5.4で「基本的なルールブック(内部規程)」を定めましたが、ここでは、それをさらに具体的に「どうやるか」というレベルに落とし込んだ「作業マニュアル」や「運用手順書」を整備することが求められます。
例えば、
・「個人情報管理台帳(J.3.1.1)は、いつ、誰が、どのように更新するか」という手順。
・「リスク対応計画(J.3.1.4)で決めた〇〇システムのアクセス権見直しは、誰が申請し、誰が承認し、誰が設定変更を行うか」という手順。
・「教育(J.4.3)の実施後、理解度テストの結果が基準点未満だった従業者に、どうやって補講を行うか」という手順。
など、日々の業務で迷わず行動できるレベルまで、手順を具体化し、文書化することが、運用を安定させる第一歩となります。
2. 計画に従って実施し、管理する
次に、No.2では、J.3で決定した活動(リスク対応計画や、個人情報保護目的の達成計画など)について、計画通りに「実施」し、それが正しく行われているか「管理」することが求められます。
これは、PDCAの「D(Do)」そのものですね。
「計画(P)」と「支援(J.4)」に基づき、実際の「実行(D)」を行うフェーズです。
「管理する」とは、単に「やりっぱなし」にするのではなく、計画通りに進んでいるか(進捗管理)、手順通りに行われているか(プロセス管理)を、しかるべき管理者(例えば、各部門の部門長や、個人情報保護管理者)がきちんと確認することを含みます。
3. 変更を管理する(重要ポイント)
No.3では、「変更の管理」について触れられています。
これは、J.3.4(変更の計画策定)で計画した「変更」を、実際に管理しながら実行することです。
例えば、組織変更に伴うルールの改訂や、新しいシステムの導入などが、これにあたります。
さらに重要なのは、後半の部分です。
「意図しない変更によって生じた結果をレビューし、必要に応じて、有害な影響を軽減する処置をとること」。
これは、どういうことでしょうか。
例えば、計画にはなかったけれど、急遽「テレワークを導入する」ことになった(=意図しない変更)とします。
その結果、「自宅のPCに個人情報が保存されてしまう」という、予期せぬ「有害な影響(新たなリスク)」が発生したとします。
この場合、その結果をきちんとレビュー(確認・評価)し、「テレワークPCのルールを急ぎ整備する」「ローカル保存を禁止する設定を行う」といった「軽減する処置」をとりなさい、ということです。
「計画通りに物事を進める(変更する)管理能力」と、「計画外の事態(意図しない変更)が発生した際に、柔軟かつ迅速に対応する管理能力」の、両面が求められているのです。
4. 外部委託した業務の管理(重要ポイント)
そして、No.4では、自社の業務の一部を外部に委託する場合の管理について、明確に要求しています。
「外部委託した業務がある場合は、管理の対象とすること」。
これは、非常に重要なポイントです。
添付資料(Wordファイル)の解説にもあるように、自社で全ての業務が完結するとは限りません。
例えば、
・「顧客データの入力作業を、データエントリー会社に委託する」
・「サーバの運用・保守を、ITベンダーに委託する」
・「従業員の給与計算業務を、社労士事務所に委託する」
・「個人情報が記載された書類の廃棄を、廃棄物処理業者に委託する」
など、個人データの取り扱いを伴う業務を外部に委託した場合、その委託した業務(=委託先での作業)も、「自社のPMSの管理対象」としなければなりません。
「委託したから終わり」「あとは委託先任せ」は、Pマークの考え方では絶対に許されません。
あくまで、自社の管理下にある(コントロールできている)状態を保つ必要があります。
(※この「委託先の管理」に関する具体的なルールは、J.9.4「委託先の監督」で、より詳しく定められています。J.5.1では、まず「運用」全体のスコープとして、委託先も対象であることを明確にしています)
5. 記録の作成・保持
最後に、No.5では、上記で紹介したNo.2(計画の実施・管理)、No.3(変更の管理)、No.4(委託先の管理)といった活動について、「記録を利用可能な状態にすること」を求めています。
これは、J.4.5.5(記録の管理)で定められたルールに従って、活動の「証拠(エビデンス)」をきちんと残しなさい、ということです。
「計画通りに実施しました」
「変更に際して、適切に処置しました」
「委託先を、このように管理しています」
といったことを、「やったつもり」ではなく、「いつ、誰が、何を、どう実施したか」を客観的な「記録」で示せるようにしておくことが、PMSが正しく運用されていることを証明する(例えば、内部監査や外部審査で説明する)ために、不可欠なのです。
まとめ
いかがでしたでしょうか。
今回は、新しいPマーク構築・運用指針の「J.5 運用」について、その概要を紹介させていただきました。
J.5は、項目こそ「J.5.1 運用」の一つだけでしたが、その中身は、
具体的な「運用の手順」をマニュアル化し、
「計画(P)」に従って「実行(D)」し、
「変更(計画通り・計画外)」を管理し、
「委託先」も含めて管理し、
それら全ての「記録(証拠)」を残す。
という、PMSの「心臓部」であり、日々の業務そのものとも言える、非常に重要なセクションでした。
J.3で立てた「設計図」と、J.4で揃えた「資材や職人」を使い、いよいよ「家(PMS)」が形作られていく、ダイナミックなプロセスです。
さて、家が建ち始めました(運用が始まりました)。
しかし、設計図通りに建てられているでしょうか?。
手抜き工事や、意図しない不具合は起きていないでしょうか?。
それをチェックする工程が、「J.6 パフォーマンス評価」となり、「「J.5 運用」が正しく行われているかを厳しく評価する、PDCAの「C(Check)」にあたります。
次回「J.6 パフォーマンス評価」について紹介しますので、よろしくお願いします。
