個人情報保護マネジメントシステム構築・運用指針を徹底解説 -「J.7 改善」編-
最終更新日:2025/11/13
こんにちは。
ここでは、新しくなったプライバシーマーク(Pマーク)の「個人情報保護マネジメントシステム構築・運用指針」について、セクションごとに紹介させていただいています。
前回は、「J.6 パフォーマンス評価」について紹介しました。
PMSという家づくりにおいて、J.5で「施工(Do)」した結果が、本当に「設計図(Plan)」通りか、欠陥はないかを厳しく「検査(Check)」するプロセスでしたね。
具体的には、
J.6.1の「現場監督による日常点検(監視・測定)」
J.6.2の「専門家による公式な検査(内部監査)」
J.6.3の「施主(トップ)による最終的な評価・判断(マネジメントレビュー)」
という、3つの異なる視点からのチェック活動があることを紹介しました。
さて、これらの厳しい「検査(Check)」を行った結果、どうなるでしょうか。
おそらく、「ここは設計図と違う」「ここはルールが守られていなかった」「ここの品質は基準を満たしていない」といった、「課題」や「不適合(ふてきごう)」、あるいは「もっと良くできる点(改善の機会)」が見つかるはずです。
家づくりで言えば、「竣工検査で雨漏りが見つかった」「壁紙の一部が剥がれていた」「設計よりも使い勝手が悪そうな箇所があった」といった状況です。
検査して「問題発見、はい終わり」では、何の意味もありません。
見つかった問題を、どう「修繕」し、「改善」し、次の家づくり(次のサイクルの運用)に活かしていくか。
今回は、指針の7つ目のセクションである「J.7 改善」について、じっくりと中身を紹介していきたいと思います。
この「J.7 改善」は、PDCAサイクルの中では、まさに「A(Act)=改善」の核心部分です。
「C(Check)」で見つかった課題に対して、具体的な「処置」を講じ、PMSを次の、より高いステージへと引き上げるための、非常に重要なプロセスであり、PDCAサイクルの「総仕上げ」とも言える部分です。
「J.7 改善」セクションは、PDCAサイクルの最後のステップであり、同時に、次のサイクルへの「始まり」でもある、極めて重要な位置づけとなります。
このセクションは、大きく分けて「J.7.1 不適合及び是正処置」と「J.7.2 継続的改善」という、2つの項目で構成されています。
この2つは、似ているようで、その目的やアプローチが少し異なります。
「J.7.1」が、主に「マイナスをゼロに戻す(そして、二度とマイナスにならないようにする)」活動だとすれば、
「J.7.2」は、「ゼロをプラスに、プラスをさらにプラスにしていく」活動だと言えます。
一つずつ、順番に見ていきましょう。
J.7.1 不適合及び是正処置
まず、PMSを運用する上で避けては通れない「不適合」への対応です。
「不適合」とは何か
最初に、「不適合」とは何かを定義しておく必要があります。
添付資料(Wordファイル)の解説にもある通り、「不適合」とは、分かりやすく言えば「要求事項を満たしていない状態」のことです。
「要求事項」とは、
・この「構築・運用指針(JIS Q 15001)」の要求事項
・自社で定めた「内部規程(ルール)」
・「法令・規範」
・「お客様との契約」
など、PMSに関連する「守るべき」と決められた全てのルールを指します。
つまり、「不適合」とは、単なる「ミス」というよりも、「ルール違反」や「ルールが守られていない状態」「ルールそのものが基準を満たしていない状態」全般を指す、重い言葉なのです。
「不適合」は、いつ見つかるか
こうした「不適合」は、どのような場面で見つかるのでしょうか。
添付資料(Wordファイル)の解説にもありますが、主に以下のようなタイミングが挙げられます。
・「J.6.2 内部監査」で、監査員から指摘された時。
・「J.6.1 監視・測定」で、現場の管理者が発見した時。
・「Pマークの審査機関による外部審査」で、審査員から指摘された時。
・「J.4.4.2 緊急事態」にあたるような、個人情報に関わる「事故」が発生した時。
・「J.11.1 苦情及び相談」で、お客様や本人から「ルールと違うのでは?」という「苦情」が寄せられた時。
これらのキッカケで「不適合」が明らかになった場合、事業者は、このJ.7.1で定められた手順に従って、適切に対処しなければなりません。
「修正(対処)」と「是正処置」の違い(最重要ポイント)
「不適合」が見つかった時、事業者が行うべきこととして、指針は「修正(対処)」と「是正処置」という、2つのステップ(実際には同時並行で進むことも多いですが)を求めています。
この2つの違いを理解することが、J.7.1を理解する上で最も重要なポイントです。
家づくりで「雨漏り(不適合)」が見つかった例で考えてみましょう。
1. 修正(対処)
まず、何をしますか?。
「床にたまった水を拭き、バケツを置く」
「濡れた家具を運び出す」
これが、「修正(対処)」です。
指針の言葉で言えば、「その不適合を管理し、修正するための処置をとる」「その不適合によって起こった結果に対処する」(PDF P35 No.1 a) 1), 2))ことです。
目の前で起きている「問題」や「被害」に、緊急的に対応し、コントロールする活動です。
2. 是正処置
さて、「修正(対処)」だけで終わりでしょうか?。
床を拭いて、バケツを置いただけでは、次の雨が降れば、また同じこと(雨漏り)が起こります。
これでは、根本的な解決になっていませんよね。
そこで必要なのが、「是正処置」です。
「是正処置」とは、添付資料(Wordファイル)の解説にある通り、「不適合の原因を究明し、再発防止を行う活動」を指します。
なぜ、雨漏りが起きたのか?。
「屋根の瓦が1枚、割れている(原因)」ことを突き止め、
「その割れた瓦を交換・修理する(原因を除去する処置)」
これが、「是正処置」です。
目の前の「結果(雨漏り)」に対処する(修正)だけでなく、その「原因(割れた瓦)」に対処する(是正処置)ことで、初めて「再発防止」が可能になるのです。
Pマークの運用においても、例えば「従業員がUSBメモリを紛失した(不適合)」という事案が発生した場合、
・「USBメモリを探索し、遠隔でロックする(修正)」
・「お客様に謝罪し、状況を報告する(修正)」
といった「修正(対処)」だけで終わらせてはいけません。
・「なぜ、USBメモリを紛失したのか?(原因の究明)」
→「持ち出しルールが曖昧だった」
→「暗号化が義務付けられていなかった」
→「従業員への教育が不足していた」
といった「原因」を突き止め、
・「USBメモリの持ち出しを原則禁止とし、許可制にする(是正処置)」
・「全社で、紛失・盗難を想定した教育を再度実施する(是正処置)」
といった、「原因」を取り除くための「是正処置」を行って、初めてJ.7.1の要求に応えたことになるのです。
求められる手順
指針では、この「是正処置」を確実に行うため、以下の事項を含む手順を内部規程として文書化し、実施することを求めています(PDF P35 No.1 a)~e))。
▼a) その不適合に対処する
(上記で紹介した「修正(対処)」のことです)
▼b) その不適合の「原因」を除去するための処置を検討する
(1) その不適合を調査及び分析する
(2) その不適合の「原因」を特定する(ここが一番難しいところです)
(3) 類似の不適合の有無、又はそれが発生する可能性を検討する(例:A部署で起きたが、B部署でも同じ原因で起こる可能性はないか?))
▼c) 是正処置を計画し、計画された処置を実施する
(原因を取り除くための具体的なアクションプランを立て、実行する)
▼d) 実施された全ての是G正処置の「有効性」を調査、分析及び評価する
(「対策(是正処置)をやりました」で終わりではなく、「その対策の結果、本当に再発防止できる状態になったか?」を、一定期間後にチェック(評価)する、ということです。もし有効でなければ、追加の処置が必要になります)
▼e) 必要な場合には、個人情報保護マネジメントシステムの改善を行う
(原因が「個人のミス」だけでなく、「ルール自体(PMS)に欠陥があった」という場合は、PMSそのもの(例:内部規程)を見直す(改善する)必要があります)
記録とトップマネジメントの承認
そして、これらの「不適合の内容」「とった修正(対処)」「究明した原因」「実施した是正処置」「有効性の評価結果」といった一連の活動は、その証拠となる「文書化した情報(記録)」として利用可能な状態にすることが求められます(PDF P35 No.3)。
さらに、その実施結果(記録)は、「原則として、トップマネジメントが承認する」ことも求められています。
不適合への対応は、経営層も巻き込んだ、組織としての公式な活動であることを明確にする必要があるのです。
J.7.2 継続的改善
「J.7 改善」セクションの2つ目の柱が、「継続的改善」です。
J.7.1の「是正処置」が、主に「マイナス(不適合)をゼロに戻し、再発を防止する」という、どちらかというと「守り」や「問題解決」の側面が強い活動でした。
それに対して、この「J.7.2 継続的改善」は、「J.6 パフォーマンス評価」の結果(不適合だけでなく、「もっと良くできる点(改善の機会)」など)を受けて、PMS全体を「より良いものにしていく(ゼロをプラスに、プラスをさらにプラスにする)」という、「攻め」や「向上」の側面が強い活動です。
指針では、事業者は、PMSの「適切性」、「妥当性」及び「有効性」を、継続的に改善すること、とシンプルに、しかし非常に力強く要求しています(PDF P36 No.1)。
この3つの観点は、J.6.3の「マネジメントレビュー」で、トップマネジメントがPMSを見直す際の観点としても出てきましたね。
▼適切性
(PMSが、今の事業内容や、J.1.1で把握した「内外の課題」(例:新しい法律、新しい技術)に対して、引き続き「適して」いるか? 古くなっていないか?)
▼妥当性
(PMSが、守るべき「要求事項」(例:指針、法令)を、ちゃんと「満たして」いるか? 抜け漏れはないか?)
▼有効性
(PMSが、J.3.2で設定した「個人情報保護目的」を達成するなど、「成果」を出しているか?「機能して」いるか?)
これらの観点から、J.6.3の「マネジメントレビュー」でトップマネジメントが「よし、次はここを改善しよう」と決定したアウトプット(改善の決定)が、このJ.7.2の「継続的改善」活動のインプット(起点)となります。
そして、その改善活動(Act)の結果は、また次の「Plan(計画)」(例えば、J.1.1の課題の再認識、J.3.1.3のリスクアセスメントの見直し、J.3.2の新しい目的設定など)へとつながっていきます。
このように、J.7.2の「継続的改善」は、PDCAサイクル(P→D→C→A)の「ゴール」であると同時に、次のPDCAサイクルへの「スタート」を切るための、重要なエンジンとしての役割を担っているのです。
まとめ
いかがでしたでしょうか。
今回は、新しいPマーク構築・運用指針の「J.7 改善」について、その概要を紹介させていただきました。
PDCAサイクルの総仕上げとなる「A(Act)」は、
J.7.1の「不適合及び是正処置」(マイナスをゼロにし、再発を防ぐ)
J.7.2の「継続的改善」(ゼロをプラスに、プラスをさらにプラスにする)
という、2つの重要な活動で構成されていることを、ご理解いただけたかと思います。
特に、「修正(対処)」と「是正処置」の違い、「是正処置」は「原因」を究明し「再発防止」まで行うこと、そして「有効性」まで評価すること、は非常に重要なポイントです。
さて、J.1「組織の状況(前提)」から始まり、J.2「リーダーシップ(体制)」、J.3「計画(P)」、J.4「支援(Dの基盤)」、J.5「運用(D)」、J.6「パフォーマンス評価(C)」、そして今回のJ.7「改善(A)」と、PMSのPDCAサイクル(マネジメントシステム)の「枠組み」の部分を、一通り紹介してきました。
これで、PMSという「家」の「建て方(PDCAの回し方)」が、一通り分かったことになります。
しかし、PMSが本当に守りたいのは、「家」そのものではなく、その「家」の中で取り扱われる「個人情報」です。
指針のJ.8以降では、このPDCAの枠組みの中で、具体的に「個人情報」をどのように取り扱うべきか、という「個別のルール」が詳細に定められています。
(J.8 取得、利用及び提供に関する原則)
(J.9 適正管理)
(J.10 個人情報に関する本人の権利)
(J.11 苦情及び相談への対応)
これらは、個人情報保護法とも密接に関連する、非常に実務的で重要なセクションです。
もし機会があれば、次回以降、このJ.8以降の「具体的なルール」についても、紹介していきたいですね。
長いシリーズとなりましたが、PMSの「PDCAサイクル(J.1~J.7)」編は、今回で一区切りとなります。
PMSは「一度作ったら終わり」ではなく、J.7.2で紹介したように、「継続的に改善」し続ける「生き物」なのです。
