---

個人情報保護マネジメントシステム構築・運用指針を徹底解説　－「J.9 適正管理」編－

---

こんにちは。

ここでは、新しくなったプライバシーマーク（Pマーク）の「個人情報保護マネジメントシステム構築・運用指針」について、セクションごとに紹介させていただいています。

前回は、指針の中でも最もボリュームがあり、実務の「心臓部」とも言える「J.8 取得、利用及び提供に関する原則」について紹介しました。

個人情報の「入り口（取得）」、「内部での取り扱い（利用）」、そして「出口（提供）」という一連の流れ（ライフサイクル）における、厳格なルールでしたね。

特に、Pマーク独自の上乗せルールである「書面による同意（J.8.5）」や、近年ますます複雑化する「外国にある第三者への提供（J.8.8.1）」、「個人関連情報（J.8.8.4）」など、日々の業務で意識すべき重要なポイントがたくさんありました。

さて、J.1～J.7で「家（PMSの枠組み）」を建て、J.8でその家の大切な「財産（個人情報）」を「どう動かすか（取得・利用・提供）」という、非常に重要な「取り扱いルール」を学びました。

しかし、ルールを決めただけでは、「財産」は守れません。

その財産を、泥棒や火事、あるいは単なる紛失から守るための、「金庫」や「鍵」、「防犯システム」、「警備員」が必要ですよね。

今回は、指針の9つ目のセクションである「J.9 適正管理」について、じっくりと中身を紹介していきたいと思います。

この「J.9 適正管理」は、J.8で定めたルールで取り扱われる個人情報を、「いかにして正しく、かつ安全に管理し続けるか」という、「守り」の核心部分を定めたセクションです。

家づくりで言えば、まさに「防犯・防災設計」と「警備体制の構築」にあたる部分です。

「J.9 適正管理」セクションは、個人データを「正確」な状態に保ち、「安全」に管理し、それを取り扱う「人（従業者）」と「外部のパートナー（委託先）」を、適切に「監督」するための、4つの重要な項目で構成されています。

J.9.1 正確性の確保

まず、最初の項目は「正確性の確保」です。

これは、「データ内容の正確性の確保」とも呼ばれ、安全に守る（セキュリティ）以前の大前提として、「そもそも、管理しているデータの中身が、古かったり、間違っていたりしてはいけない」というルールです。

利用目的の達成に必要な範囲内で、「正確」かつ「最新」に

指針では、「利用目的の達成に必要な範囲内において」、個人データを「正確、かつ、最新の状態で管理する」ことを求めています。

ここでのポイントは、「利用目的の達成に必要な範囲内において」という部分です。

例えば、顧客に「商品を発送する」という利用目的がある場合、顧客が引っ越したにもかかわらず、古い住所データを使い続ければ、商品は届かず、利用目的は達成できません。

それどころか、全く関係のない第三者（新しい入居者）に個人情報（氏名や購入履歴）が知られてしまうという、重大な情報漏えい事故につながる可能性もあります。

このように、利用目的にとって「正確性」「最新性」が必要不可欠な場合は、事業者はデータを常に正しい状態に保つ努力（例：本人に住所変更の手続きを促す、定期的にデータのクレンジングを行うなど）をしなければなりません。

一方で、利用目的の達成に影響しない情報（例：過去の統計データとして利用するだけで、本人への連絡には使わない情報）まで、常に最新化する必要はない、とも解釈できます。

自社の「利用目的」に照らし合わせて、どこまでの「正確性・最新性」を担保すべきか、その手順を確立し、実施することが求められます。

利用する必要がなくなった場合の「消去」

そして、J.9.1には、もう一つ非常に重要な要求事項があります。

「個人データの管理（利用する必要がなくなった場合の消去を含む。）は、定めた手順に基づいて適切に行うこと」。

これは、J.3.1.1の「個人情報管理台帳」で定めた「利用期限」や「保管期限」とも密接に関連します。

個人情報は、その利用目的が達成され、「利用する必要がなくなった」場合には、「遅滞なく消去しなければならない」のが大原則です。

（※添付資料（Wordファイル）の解説にもある通り、税法や労働法など、他の「法令により保存期間が定められている場合」は、もちろんその法令が優先されます。その場合も、「なぜ保管し続けるのか」の根拠が明確になります）

データを不必要に長く持ち続けることは、それ自体が「目的外利用」につながるリスクや、万が一の漏えい時の被害を拡大させるリスク（＝リスクの「溜め込み」）になります。

「いつまで利用し」「いつ消去するのか」という、個人情報の「出口戦略」までを、きちんと手順化しておくことが、「適正管理」の第一歩なのです。

J.9.2 安全管理措置

J.9セクションの中核であり、「守り」のルールそのものと言えるのが、この「J.9.2 安全管理措置」です。

J.8で決めたルールで個人情報を取り扱う際に、その情報が「漏えい、滅失又は毀損」（まとめて「漏えい等」と呼ばれます）することを防止するために、必要な対策を講じなさい、という要求です。

リスクアセスメントとの連動

では、どのような対策（措置）を講じればよいのでしょうか。

指針は、「取り扱う個人情報の個人情報保護リスクに応じて」、また「法令に基づき」、必要かつ適切な措置を講じること、と定めています。

「リスクに応じて」という点が、非常に重要です。

これは、J.3.1.3で実施した「個人情報保護リスクアセスメント」の結果と、完全に連動することを意味します。

アセスメントで「うちの会社は、ここが危ない（リスクが高い）」と特定された部分には、手厚い措置を講じ、逆にリスクが低いと評価された部分は、過剰にならない（費用対効果も考慮した）「適切な」措置を講じる。

このように、J.3の「計画（P）」と、J.9の「実行（D）」は、表裏一体の関係にあるのです。

4つの安全管理措置

では、具体的にどのような「措置」があるのでしょうか。

添付資料（Wordファイル）の解説にある通り、安全管理措置は、一般的に以下の「4つの観点」から、総合的に実施することが求められます。

1. 組織的安全管理措置

これは、「体制」や「ルール」の整備による守りです。

（例）

・個人情報保護管理者（J.2.3.2）の設置や、責任体制の明確化。

・個人情報の取り扱いに関する「内部規程（J.4.5.4）」の整備と運用。

・「個人情報管理台帳（J.3.1.1）」による、取り扱い状況の把握。

・事故や違反を発見した場合の「緊急事態対応体制（J.4.4.2）」の整備。

・日々の運用状況の「点検（J.6.1）」や「内部監査（J.6.2）」の実施。

2. 人的安全管理措置

これは、「人」に対する教育や監督による守りです。

（例）

・従業者に対する「教育（J.4.3）」の実施。

・入社時や、重要な情報を取り扱う部門への配置転換時に、「機密保持に関する誓約書」等を取得すること。

・従業者の「監督（J.9.3）」（後述します）。

・就業規則等に、PMS違反時の「罰則規定（J.4.5.4 o)）」を定めること。

3. 物理的安全管理措置

これは、「モノ」や「場所」に対する、物理的な守りです。

（例）

・個人情報を取り扱う「区域」（オフィス、サーバルームなど）への入退室管理（例：ICカード、施錠）。

・個人情報が記載された「書類」や「媒体（USBメモリ、ノートPCなど）」の盗難・紛失防止策（例：施錠できるキャビネットでの保管、ワイヤーロックでの固定）。

・不要になった書類の「廃棄」（例：シュレッダー、溶解処理）。

・持ち運び時のルール（例：PCやUSBメモリの暗号化、許可制）。

4. 技術的安全管理措置

これは、「システム」や「ネットワーク」など、技術的な守りです。

（例）

・「アクセス制御」（例：IDとパスワードによる認証、担当業務に応じて必要な範囲だけアクセスできる権限設定）。

・「不正アクセス防止」（例：ファイアウォールの設置、ウイルス対策ソフトの導入と最新化）。

・「移送・送信時の保護」（例：通信経路の暗号化（SSL/TLS）、ファイル自体の暗号化）。

・「アクセスログ」の取得と監視。

Pマークの安全管理措置は、これら「組織的」「人的」「物理的」「技術的」の4つが、どれか一つに偏るのではなく、お互いを補完し合う形で、バランスよく実施されていることが重要です。

【2023年版準拠の改定点】クラウドサービスの利用（重要ポイント）

そして、添付資料（Wordファイル）の解説にもある通り、今回の指針改定（JIS Q 15001:2023準拠）に伴い、J.9.2（PDF P55 No.2）には、現代のビジネス環境を反映した、非常に重要な要求事項が追加されました。

それは、「外部サービスを利用する場合」に関する注意点です。

ここで言う外部サービスとは、特に「当該サービス提供事業者が当該個人データを取り扱わないことになっているサービス」を指します。

これは、どういうことでしょうか。

例えば、Amazon Web Services (AWS) や Microsoft Azure のような「IaaS/PaaS型クラウドサービス」や、「レンタルサーバ」を借りて、自社でOSやアプリケーションを構築・管理する場合が、これにあたります。

この場合、クラウド事業者（AWSなど）は、あくまで「場所（インフラ）」を貸しているだけで、その上で顧客（自社）がどのような個人データを取り扱っているかには（契約上）関知しません。

そのため、これは「個人データの取り扱いを任せる」ことにはならず、この後で紹介する「委託（J.9.4）」には、該当しないと整理されることが一般的です。

しかし、だからといって「何もしなくて良い」わけではありません。

契約上は「委託」でなくても、「自社の重要な個人データを、他社の管理する設備（データセンター）に“預ける”」という事実は変わらないからです。

そこで、指針は、たとえ契約上「委託」にあたらなくても、「預ける側（事業者）の、自らの安全管理措置の一環」として、

「あらかじめサービス内容の把握、評価等を行ったうえで選定する」

ことを求めているのです。

（例）

・そのクラウドサービスは、十分なセキュリティ水準（例：ISMS認証など）を持っているか？。

・データセンターは、どこの国にあるのか？（J.8.8.1（外国への提供）のリスクはないか？）。

・障害発生時の対応体制はどうか？。

などを、利用開始前にきちんと「評価・選定」し、その上で利用しなさい、という、非常に現実的かつ重要な要求事項が追加されたのです。

J.9.3 従業者の監督

J.9.2の「人的安全管理措置」を、より具体的に実施するための項目が、「J.9.3 従業者の監督」です。

指針は、個人データを取り扱う「従業者」に対して、「必要かつ適切な監督」を行うことを求めています。

「従業者」の範囲

まず、対象となる「従業者」とは、J.2.1（リーダーシップ）の留意事項でも定義されていた通り、会社の指揮監督下で業務に従事する「全ての人」を指します。

正社員はもちろん、

・役員

・契約社員、嘱託社員

・パートタイマー、アルバイト

・派遣社員

なども、全て監督の対象となります。

特に、派遣社員については、派遣元（派遣会社）と派遣先（自社）の両方が監督責任を負うことになりますが、Pマーク事業者としては、自社の指揮命令下で働く以上、自社の従業員と「同等」の監督（教育やルールの遵守徹底）を行う必要があります。

「必要かつ適切な監督」とは

「監督」というと、監視カメラで見張るような、堅苦しいイメージがあるかもしれません。

しかし、ここでの「監督」とは、主に以下のような活動を指します。

・J.4.3に基づく「教育・訓練」を、対象者全員に確実に実施し、その内容を理解させること。

・J.4.5.4(o)の「罰則規定」を含む、個人情報の取り扱いに関する「内部規程」を周知し、遵守させること。

・「機密保持に関する誓約書」などを、入社時や（場合によっては）退職時に取得し、責任を自覚させること。

・J.6.1（監視・測定）などを通じて、日常業務の中でルールが守られているか（例：クリアデスク、PCの施錠、パスワードの使い回し禁止など）を、管理者が確認し、指導すること。

単に「人を信じない」ということではありません。

人がミスや勘違い（ヒューマンエラー）を起こしやすい生き物であることを前提に、「ルールを守る意識付け（教育・監督）」と、「万が一ミスをしても事故にならない仕組み（J.9.2の技術的・物理的措置）」の、両輪で守っていくことが「適切な監督」なのです。

J.9.4 委託先の監督

J.9の最後は、「J.9.4 委託先の監督」です。

J.9.3が「内部（従業者）」の監督だったのに対し、J.9.4は「外部（委託先）」の監督に関するルールです。

J.5.1のNo.4で「外部委託した業務も管理の対象とすること」と宣言されましたが、このJ.9.4では、その「具体的な管理方法」が定められています。

現代のビジネスでは、自社だけですべての業務を完結させることは稀です。

・給与計算業務を、社労士事務所に委託する。

・システムの開発・運用・保守を、ITベンダーに委託する。

・顧客データの入力作業を、データエントリー会社に委託する。

・ダイレクトメールの発送業務を、印刷・発送業者に委託する。

・個人情報が記載された書類の廃棄を、専門の廃棄物処理業者に委託する。

・従業員の名刺作成を、印刷会社に委託する。

これらはすべて、個人データの取り扱いを伴う「委託」にあたります。

添付資料（Wordファイル）の解説にもある通り、たとえ相手がグループ会社であっても、法人格が別であれば「委託」または「第三者提供（J.8.8）」として、適切に管理する必要があります。

この「委託先の監督」は、自社の管理が及ばない（と思いがちな）外部で、自社の名前で個人情報が取り扱われる、非常にリスクの高いポイントであり、Pマークの審査でも極めて厳しくチェックされる項目です。

指針では、委託先の監督を、大きく3つのプロセスに分けて要求しています。

1. 委託先の選定

まず、そもそも「誰に任せるか」の入り口が重要です。

指針は、「十分な個人データの保護水準を満たしている者」を選定するために、「委託先選定基準」を確立し、それに基づいて委託先を選定することを求めています。

「安ければ誰でもよい」は、絶対にダメだ、ということです。

「委託先選定基準」には、例えば、

・PマークやISMS（情報セキュリティマネジメントシステム）などの第三者認証を取得しているか。

・認証がなくても、自社（委託元）と同等以上の安全管理措置（J.9.2の4つの観点）が講じられているか。

・再委託（委託先が、さらに別の会社に任せること）の管理体制はどうか。

・事故発生時の報告・対応体制はどうか。

といった基準を設けます。

そして、この基準に基づき、候補となる委託先を「評価（アンケートやヒアリング、現地調査など）」し、基準を満たしていることを確認した上で、選定します。

これらの「基準書」や「評価（選定）した記録」は、適切に選定した証拠として、保管する必要があります。

2. 委託契約の締結

選定が完了したら、次は「契約」です。

指針は、「特定した利用目的の範囲内で」委託契約を締結することを求めています。

（例：「商品発送のため」に預かった情報を、委託先が勝手に「マーケティング分析」に使うことはできません）

さらに、その契約書（または覚書）には、「委託元（自社）が、委託先に対して監督できる」ように、以下の事項（a～h）を盛り込むことが求められています。

a) 委託者（自社）と受託者（委託先）の責任の明確化

b) 個人データの安全管理に関する事項（委託先に、J.9.2と同等の安全管理を義務付ける）

c) 再委託に関する事項（再委託は原則禁止か、許可制か。許可する場合の条件など）

d) 個人データの取扱状況に関する、委託者への報告の内容及び頻度

e) 契約内容が遵守されていることを、委託者が確認できる事項（例：監査権、立入検査権など）

f) 契約内容が遵守されなかった場合の措置（例：契約解除、損害賠償など）

g) 事件・事故が発生した場合の、報告・連絡に関する事項

h) 契約終了後の措置（預けた個人データの返却、または消去・廃棄）

これらの条項を盛り込んだ契約を締結し、その契約書を（個人データの保有期間中）保存しておく必要があります。

3. 委託先の監督

契約を結んだら、終わりではありません。

J.5.1の宣言通り、運用が始まった後も「管理対象」です。

指針は、「委託契約に基づき、委託先を適切に監督すること」を求めています。

具体的には、

「契約内容（特に、bの安全管理措置や、cの再委託の状況）が、きちんと遵守されているか」

を、定期的（例：年に1回）に、及び適宜に、確認（監督）します。

確認の方法としては、

・委託先に「個人情報取扱状況報告書」のようなセルフチェックシートを提出してもらう。

・Web会議や電話で、管理状況についてヒアリングする。

・（リスクが高いと判断した場合は）現地に赴いて、実際の管理状況を監査（現地調査）する。

といった方法が考えられます。

もし、この監督の過程で、契約違反や不十分な点が見つかった場合は、速やかに是正（改善）を求めることになります。

添付資料（Wordファイル）の解説にある通り、「全ての委託先をもれなく特定」し、これら「選定・契約・監督」の3ステップを、全ての委託先に対して（リスクの大きさに応じて濃淡はつけつつも）実施することが、J.9.4の要求事項なのです。

まとめ

いかがでしたでしょうか。

今回は、新しいPマーク構築・運用指針の「J.9 適正管理」について、その概要を紹介させていただきました。

J.9は、個人情報を「適正に」管理し続けるための、「守り」の中核となるセクションでした。

J.9.1で、データの「中身」を「正確・最新」に保ち、不要になったら「消去」する。

J.9.2で、J.3のリスクアセスメントに基づき、「組織的・人的・物理的・技術的」の4つの観点から「安全管理措置」を講じる（クラウド利用時の注意点も含む）。

J.9.3で、内部の「従業者」を適切に「監督」する。

J.9.4で、外部の「委託先」を、「選定・契約・監督」の3ステップで厳格に「監督」する。

J.8で紹介した「取り扱い（取得・利用・提供）」のルールと、このJ.9で紹介した「管理（守り）」のルール。

この両方が揃って、初めて、事業者は個人情報を「適正に」取り扱っていると、胸を張って言えるようになるのです。