個人情報保護マニュアルとは?国の指針やPマーク認証に必要な文書

この記事は約8分で読めます。

個人情報保護マニュアルは個人情報の取り扱いのために整備したい文書の一種です。しかし、このマニュアルにはどのような内容を盛り込むべきなのでしょうか。この記事では国のガイドラインやプライバシーマークの認証規格で求められる事項、改正法への対応などについて説明します。

また、個人情報保護マニュアルをはじめとする社内文書の管理・周知にはセキュリオのルールブック機能がオススメです。セキュリオでは、複雑でやることの多いルール管理を、作成から周知までクラウド上でかんたんに実施できます。

個人情報の定義を改めて確認

まず、個人情報の定義を簡単に説明します。

改正個人情報保護法では、個人情報とは以下のように規定されています。

  • 生存する個人に関する情報
  • 特定の個人を識別できる情報
    • 氏名、生年月日
    • その他(他の情報と容易に照合でき、それにより特定の個人を識別できる)
    • 個人識別符号

なお、個人識別符号とは、それだけでも特定の個人を識別できる情報です。具体的な例に以下があげられます。

  • 文字、番号、記号、符号等
  • 生体情報を変換した符号
    • DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋
  • 公的な番号
    • パスポート番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証等

個人情報保護マニュアルとは

個人情報保護マニュアルは個人情報の取り扱いに関する内部文書の一つです。

個人情報保護法第20条では個人情報の漏えい、滅失または毀損防止等のために「安全管理措置」を講じることを義務づけています。国が示したガイドラインでは、その安全管理措置の一つの例として「個人データの取り扱いにかかる規律の整備」をあげています。「マニュアル」とは明記していませんが、整備の手法の一つとして「個人データの取扱規程の策定」を提示しています。

またプライバシーマーク(Pマーク)の認証規格「JIS Q 15001」では、個人情報取り扱いに関する「内部規程」を文書化して維持するよう定めています。個人情報保護マニュアルはこの内部規程文書の一種です。

個人情報保護マニュアルに必要な項目

それでは個人情報保護マニュアルにはどんな内容を盛り込むべきなのでしょうか。
個人情報保護法とプライバシーマーク(Pマーク)認証で求められる内容に違いがあるため、それぞれに必要な内容を紹介します。

ガイドライン上、整備が望まれる内容

個人情報保護法に関する国のガイドラインでは、「個人データの取扱規程」として次のような内容を例示しています。

  • 個人情報を取り扱う段階(※)ごとの以下に関する規定
    • 個人情報の取り扱い方法
    • 個人情報を取り扱う責任者や担当者、またその任務
    • その他

※「取得」「利用」「保存」「提供」「削除・廃棄」など

具体的にはガイドラインで示されている4種類の安全管理措置の内容を盛り込むことが重要です。(各内容の詳細はリンク先を参照ください)

プライバシーマーク(Pマーク)認証で求められる内容

プライバシーマーク(Pマーク)の認証規格「JIS Q 15001」では、個人情報保護マニュアルも含めた「内部規程」を文書化して維持するよう定めています。

Pマークの規格上、内部規程には以下の内容を含むよう明記されています。ただし、個人情報保護マニュアルには下記のすべての内容を必ずしも盛り込む必要はなく、従業者が参照しやすい適切な形式で作成・整備してかまいません。内部規程の形式は「細則」「マニュアル」「チェックリスト」、また内容(例:違反の罰則規程は就業規則)によって別の内部文書に記載します。

  • 個人情報を特定する手順
  • 法令、国の指針、その他の規範の特定、参照・維持 
  • 個人情報保護リスクのアセスメントおよびリスク対策の手順 
  • 各部門および階層における権限及び責任
  • 緊急事態への準備および対応
  • 個人情報の取得・利用・提供
  • 個人情報の適正な管理 
  • 本人からの開示等の請求等への対応 
  • 教育など
  • 文書化した情報の管理 
  • 苦情および相談への対応 
  • 点検 
  • 是正処置
  • マネジメントレビュー
  • 内部規程の違反に関する罰則規定

個人情報保護マニュアルを含めた内部規程は「個人情報保護マネジメントシステム」が確実に実施されるように、少なくとも年に1回は見直しや改正が必要とされています。

改正個人情報保護法の成立による対応が必要

2020年に改正個人情報保護法が国会で成立し、2年以内の施行が予定されています。それにしたがい、既存の個人情報保護マニュアルは改訂する必要があります。

改正法の内容はPマーク認証規格ですでに規定済みのものもありますが、従前より厳格になったり、新しく加わる内容も出てきています。たとえば請求権の対象拡大による開示対象と方法に関する変更、漏えい事案発生時の個人情報保護委員会への報告・本人通知、仮名加工情報の創設にともなう対応です。

猶予期間はいくらかあるものの、早めにマニュアルの内容の検討と見直しを進めていきましょう。

個人情報保護マネジメントシステムとは

ここで、円滑な運用に個人情報保護マニュアルが必要とされる「個人情報保護マネジメントシステム」について簡単に説明します。なお、個人情報保護マネジメントシステムはPMS(Personal information protection Management Systems)と略称されます

PMSはPマーク認証規格の「JIS Q 15001」において取得要件とされ、個人情報を保護する体制の構築と、PDCAサイクルによる管理の仕組みを指します。PMSを構成する主な内容や要素は以下です。

  • 計画、実施、運用、点検(PDCAサイクル)
  • 個人情報の取得、利用および提供の原則、適正管理
  • 個人情報に関する本人の権利
  • PMA関連の文書

PMSの仕組みは、以下のPDCAサイクルの工程を継続的に実行することで実現します。

  • P:リスク分析により必要な措置を定めて計画を立案
  • D:計画どおりに実行
  • C:定期的なチェック
  • A:改善

個人情報保護マニュアルの参考例

最後に、マニュアル作成の参考となるよう、ある企業が公開している個人情報保護マニュアルを紹介します。

目次は特に設けられていませんが、4部構成で「目的」「マニュアルの大枠・用語説明」「PMS要求事項」「改訂履歴」の項目があります。ここでは各項目ごとの内容を簡単に説明します。

目的

冒頭でマニュアル文書の定義と目的を記述しています。

1.目的

マニュアルを定める目的(個人情報の適切な保護)を述べています。またPマーク認証を取得しているため、個人情報保護マネジメントシステムの構築を掲げています。

適用範囲と準拠規範、用語定義

2章では、マニュアルに関わる大きな枠組みや用語の定義を説明しています。

2.1適用範囲

Pマークの規格上、すべての組織に適用できることとされています。したがってこのマニュアルも含む内部規程の各文書も当然組織全体に適用されると定義しなくてはなりません。

2.2適用規格、ガイドラインなど

Pマーク規格の名称を明示し、またPMS運用に必要な規範等については、別項にて特定する手順があることを提示しています。

2.3用語の定義

組織の構成者全員に適用される文書のため、あらかじめマニュアル内の用語を定義し、解釈の違いや誤解が生まれないようにしています。

個人情報保護マネジメントシステム要求事項

ここから本題となる個人情報保護マネジメントシステム(PMS)の運用マニュアルに移ります。おおむねPマーク認証規格で規定された内部規程の内容順に説明が進みます。

3.1個人情報保護マネジメントシステムの確立~改善

まずはじめに、自社がPMSのPDCAサイクルを行う旨(文中では「確立」「実施」「維持」「改善」)を宣言しています。

3.2個人情報保護方針

規格の要求事項に定められている内容を網羅的に記載しています。

3.3計画

ここではPMSのPDCAサイクルのP(計画)にあたる「確立」について説明しています。

具体的には、個人情報や各種規範の特定、リスク認識と対策、社内分担、内部規程の管理、PMS実行計画、緊急事案対応の体制整備に関する手順を規定しています。

3.4実施及び運用

PMSのPDCAサイクルにおけるD(実施)の確実な実行に必要な手順を記載、または各種の手順書を明記しています。

詳細項目としては「手順書の列挙」「個人情報の取得・利用・提供」「情報取り扱いの適正な管理・監督」「権利手続き対応・教育」があります。

3.5個人情報保護マネジメントシステム文書

PMSのPDCAサイクル実行に必要な文書・記録の管理、手順書を明示しています。

3.6苦情及び相談への対応

PMSにのっとり、苦情および相談対応を行うこと、またそのための体制整備、手順を簡潔に説明しています。

3.7点検

PMSのPDCAサイクルにおけるC(点検)における内部チェックと監査の実施について、また各手順書についても記載しています。

3.8是正処置及び予防措置

PMSのPDCAサイクルにおけるA(改善)にあたり、前工程のC(点検)で見つかった不適合状態の是正と再発予防措置のシステム化を宣言し、必要とされる手順と手順書を明記しています。

3.9代表取締役による見直し(マネジメントレビュー)

代表取締役が毎年4月に定期的にPMSを見直し、その結果をPMSに反映することを宣言しています。また見直しにあたって考慮すべき事項も示しています。

改訂履歴

マニュアルの末尾には過去の改訂履歴をその理由とともに記載しています。Pマークの認証規格では確実なPMS適用のため、内部規程の改正と文書管理(改正内容と版数の明確な関連づけ)が義務づけられており、それに準じた記述となっています。

まとめ

個人情報保護マニュアルとは、国のガイドラインやPマーク認証で作成が求められる文書の一種です。近い将来個人情報保護法の改正があるため、できるだけ早めに対応を進めていくことをおすすめします。

セキュリオでかんたんにマニュアル管理しませんか?

情報セキュリティ対策認証取得を目指すPマーク法令・制度解説
タイトルとURLをコピーしました