目 次 1. 適用範囲 P4 2. 引用規格 P5 3. 用語及び定義 P5 4. 組織の状況 P7 4.1 組織及びその状況の理解 P7 4.2 利害関係者のニーズ及び期待の理解 P7 4.3 個人情報保護マネジメントシステムの適用範囲の決定 P7 4.4 個人情報保護マネジメントシステム P7

改訂年月日 改訂番号 １－０

※購入希望の場合は、

https://www.iso-mi.com/

P マークの取得及び更新に必須となる基本文書（上位文書）のサンプルです。

ページ最後の購入方法をご確認ください。修正可能なワードファイルで提供しています。

【編集可能!】個人情報保護（P マーク）マニュアル

ＪＩＳ Ｑ

１５００１：２０１７ 適 用

承 認 （社 長） 作 成 （管理責任者） 6 月 1 日 6 月 1 日

株式会社 サンプル

非 管 理 版

目 次 1．適用範囲··· P4 2．引用規格··· P5 3．用語及び定義··· P5 4．組織の状況··· P7 4.1 組織及びその状況の理解 ··· P7 4.2 利害関係者のニーズ及び期待の理解 ··· P7 4.3 個人情報保護マネジメントシステムの適用範囲の決定 ··· P7 4.4 個人情報保護マネジメントシステム ··· P7 5．リーダーシップ··· P8 5.1 リーダーシップ及びコミットメント ··· P8 5.2 方針 ··· P8 5.3 組織の役割、責任及び権限 ··· P10 6．計画 ··· P11 6.1 リスク及び機会に対処する活動 ··· P11 6.1.1 一般 ··· P11 6.1.2 個人情報保護リスクアセスメント ··· P11 6.1.3 個人情報保護リスク対応 ··· P15 6.2 個人情報保護目的及びそれを達成するための計画策定 ··· P15 7．支援 ··· P16 7.1 資源 ··· P16 7.2 力量（教育訓練） ··· P16 7.2.1 要求される力量 ··· P16 7.2.2 教育訓練計画 ··· P16 7.2.3 実施した教育訓練の有効性評価 ··· P17 7.2.4 教育訓練記録の保持 ··· P17 7.3 認識 ··· P17 7.4 コミュニケーション ··· P17 7.5 文書化した情報 ··· P19 7.5.1 一般 ··· P19 7.5.2 作成及び更新（改訂） ··· P19

7.5.3 文書化した情報の管理 ··· P19 8．運用 ··· P20 8.1 運用の計画及び管理 ··· P20 8.2 個人情報保護リスクアセスメント ··· P20 8.3 個人情報保護リスク対応 ··· P20 9．パフォーマンス評価 ··· P21 9.1 監視、測定、分析及び評価 ··· P21 9.2 内部監査 ··· P21 9.2.1 内部監査の目的 ··· P21 9.2.2 内部監査プログラム ··· P21 9.2.3 内部監査の実施 ··· P22 9.3 マネジメントレビュー ··· P22 9.3.1 マネジメントレビューの実施 ··· P22 9.3.2 マネジメントレビューのインプット ··· P23 9.3.3 マネジメントレビューのアウトプット ··· P23 9.3.4 マネジメントレビューの記録 ··· P23 10．改善 ··· P24 10.1 不適合及び是正処置 ··· P24 10.2 継続的改善 ··· P24 改訂歴表

１ 適用範囲

当社は、「個人情報保護マネジメントシステム-要求事項」（以下 JISQ15001）に準拠した個人情報保護を 構築する。 本マニュアルは、当社の個人情報保護マネジメントシステムの確立、導入、運用、監視、見直し、維持 及び改善の枠組みを規定する。 (1) 適用事業 ・オンラインメディア企画制作業務 ・発送代行業務・事務局代行業務 ・広告代理業務 ・EC メディア業務 (2) 適用組織 「安全管理規定」の組織図で示す組織 (3) 適用事業所 【事業所名】 本社 【事業所住所】 ○○

２ 引用規格

引用規格は用いない。

３

用語及び定義

用語の定義は、JIS Q 15001:2017 に従うが、定義が必要な用語については、以下に定義を行う。 (1) 当法人 株式会社 サンプル (2) 個人情報 個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、又は個人別に付さ れた番号、記号その他の符号、画像苦しくは音声によって当該個人を識別できるもの（当該情報だ けでは識別できないが、他の情報と組み合わせることによって当該個人を識別できるものを含む。） 但し、法人その他の団体に関して記録された情報に含まれる当該法人その他の団体の役員に関する 情報を除く。 (3) 個人情報保護管理者 社長によって、内部から任命された者であって、個人情報保護マネジメントシステムの実施及び運 用に関する責任と権限を持つ者をいう。当社では、個人情報管理責任者という。 (4) 個人情報保護監査責任者 社長によって、他の責任に関わりなく責任と権限を与えられ、内部から任命された者であって、個 人情報保護マネジメントシステムの監査に関する責任と権限を持つ者をいう。当社では、監査リー ダーという。 （5）内部監査員 社長から任命された者であって、個人情報保護監査責任者の指示に基づき、内部監査の実施及び報 告を行うものを指す。 （6）個人情報管理者（Ｐマーク推進委員） 個人保護に関し、その中核として個人情報保護マネジメントシステムを推進する者を指す。 （7）社員 当法人の個人情報保護マネジメントシステム運用における社員とは、当法人の社員、嘱託、パー ト、派遣社員、アルバイトを含めた全従業員を指す。 （8）利用 当法人が、業務において個人情報を処理すること。 （9）提供 当法人が、当法人外のものに自ら保有する個人情報を利用可能にすること。

（10）預託

当法人が、当法人外のものに情報処理を委託するなどのために自ら保有する個人情報を預けるこ と。

（11）個人番号関係事務取扱担当者

４ 組織の状況

4.1

組織及びその状況の理解

当社は、P マーク推進委員会において、組織の目的に関連し、かつ個人情報保護マネジメント システムの意図した成果を達成する能力に影響を与える、外部及び内部の課題を決定し、「リス ク一覧表」に示す。

4.2

利害関係者のニーズ及び期待の理解

当社は、顧客等をはじめとする利害関係者を特定し、それらの要求事項および法的及び規制 要求事項を以下に示す。 利害関係者 個人情報保護に関する要求事項 顧客 契約上の義務（契約書） 個人情報の機密性・完全性・可用性の確保 従業員 個人情報の機密性・完全性・可用性の確保 個人情報の保護 政府・行政・国民 個人情報保護に関する法令（法的要求事項登録簿）

4.3

個人情報保護マネジメントシステムの適用範囲の決定

当社は、適用範囲を決定する場合、以下に事項を考慮して、適用範囲を決定し、決定した適 用範囲は、文書化した情報として利用可能な状態にしておく。 (1) 4.1 に規定する外部及び内部の課題 (2) 4.2 に規定する要求事項 (3) 組織が実施する活動と他の組織が実施する活動との間のインターフェース及び依存関係

4.4

個人情報保護マネジメントシステム

当社は、JISQ15001:2017 の要求事項に従って、個人情報保護マネジメントシステムを確立し、 実施し、維持し、かつ継続的に改善を行う。詳細については、以下の章に基づき規定する。

５ リーダーシップ

5.1

リーダーシップ及びコミットメント

社長は、次に示す事項によって、個人情報保護マネジメントシステムに関するリーダーシッ プ及びコミットメントを実証する。 (1) 内部向け個人情報保護方針及び個人情報保護目的を確立し、それらが組織の戦略的な方向 性と両立することを確実にする。 (2) 組織の事業プロセスへの個人情報保護マネジメントシステム要求事項への統合を確実にす る。 (3) 個人情報保護マネジメントシステムに必要な経営資源が利用可能であることを確実にする。 (4) 有効な個人情報保護マネジメント及び個人情報保護マネジメントシステム要求事項への適 合の重要性を利害関係者に伝達する。 (5) 個人情報保護マネジメントシステムがその意図した成果を達成することを確実にする。 (6) 個人情報保護マネジメントシステムの有効性に寄与するよう人々を指揮し、支援する。 (7) 継続的な改善を促進する。 (8) その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう、その 管理層の役割を支援する。

5.2

方針

5.2.1

内部向け個人情報保護方針

社長は、次の事項を満たす内部向け「個人情報保護方針」を制定し、文書化して利用可能と し、組織内に伝達する。また、必要に応じて、利害関係者が入手可能であるようにする。 (1) 組織の目的に対して適切である。 (2) 個人情報保護目的を含むか又は個人情報保護目的の設定のための枠組みを示す。 (3) 個人情報保護に関連して適用される要求事項を満たすことへのコミットメントを含む。 (4) 個人情報保護マネジメントシステムの継続的改善へのコミットメントを含む。 策定した内部向け「個人情報保護方針」は，以下に示す事項を満たす。 (5) 文書化した情報として、利用可能である。 (6) 組織内に伝達され、理解され、適用される。 (7) 必要に応じて、利害関係者が入手可能である。

5.2.2

外部向け個人情報保護方針

社長は、次の事項を満たす外部向け「個人情報保護方針」を制定し、文書化して、一般の人 が知り得るようにする。 (1) 5.2.1 で確立した内部向け個人情報保護方針に対して矛盾しない。

６ 計画

6.1

リスク及び機会に対処する活動

6.1.1

一般

個人情報保護マネジメントシステムの計画を策定するとき、前項 4.1 に規定する課題及び 4.2 に規定する要求事項を考慮し、P マーク推進委員会において、次の事項について対処する必要が あるリスク及び機会を決定し、「リスク一覧表」に記入する。 (1) 個人情報保護マネジメントシステムが、その意図した成果を達成できることを確実にする。 (2) 望ましくない影響を防止、又は低減する。 (3) 継続的改善を達成する。 (4) 決定したリスク及び機会に対処する活動を計画する。 (5) 計画された活動は、個人情報保護マネジメントシステムプロセスへの統合及び実施を行う。 (6) 計画された活動の有効性評価を行う。

6.1.2

個人情報保護リスクアセスメント

当社は、以下の事項を行う個人情報保護リスクアセスメントのプロセスを定め、適用する。 (1) 以下を含む個人情報保護のリスク基準を確立し、維持する。 ① リスク受容基準 1) 6.1.2(4)③で計算したリスク値が「6」以下のリスクは受容（保有）する。 2) リスク値が｢8」｢9」の場合は、該当する情報資産、脅威を考慮して状況に応じて、受容 するか否かを決定する。 3) リスク値が「10」以上の場合、「管理策を採用し、リスクを低減する」か「リスクを移 転する」、あるいは「リスクを回避する」対応をとり、リスク値を「6」以下に低減する。 4) リスク値が「10」以上で、リスク値を受容水準以下に低減させることが、事業上の理由 により不可能である場合は、P マーク推進委員会でその受容の可否を審議し、組織とし てそのリスクを受容する。 ■ リスク受容基準 脅威のレベル 1 2 3 ぜい弱性のレベル 1 2 3 1 2 3 1 2 3 事業に与 える損害 1 2 3 4 3 4 5 4 5 6 2 4 6 8 6 8 10 8 10 12 3 6 9 12 9 12 15 12 15 18 原則受容 受容可能 リスク対応 ② 個人情報保護リスクアセスメントを実施するための基準 以下に示す方法でリスクアセスメントを実施する。

下図に、リスク計画のフローを示す。 個人情報の特定 （該当部門） 個人情報管理台帳の作成 （個人情報管理台帳） リスクの特定 （リスクアセスメント結果表） リスクの分析及び評価 （リスクアセスメント結果表） リスク対応の選択 （リスクアセスメント結果表） 管理策の選択 （リスクアセスメント結果表） リスク対応計画及び残留リスクの承認 (承認の記録） Step1 Step2 Step3 Step4 Step5 Step6 Step8 Step7 リスク対応計画の策定 （リスク対応計画書） 外部及び内部の課題、利害関係者のニーズ を考慮したﾘｽｸ及び機会の決定 (ﾘｽｸ一覧表） 個人情報保護目的を達成するための計画の策定 (情報セキュリティ目標管理表） 個人情報保護方針 顧客、法令等の要求事項

８

運用

8.1

運用の計画及び管理

当社は、個人情報保護要求事項を満たすため、6.1 で決定した活動及び 6.2 で決定した個人情 報保護目的の達成を実施するために必要なプロセスを計画し、実施、管理を行う。これには、 計画した変更を管理し、意図しない変更によって生じた結果をレビューし、必要に応じて、有 害な影響を軽減する措置及び外部に委託したプロセスも含む。また、これらのプロセスが計画 通りに実施された証拠として、文書化した情報を保持する。

8.2

個人情報保護リスクアセスメント

P マーク推進室は、下記事項が生じた場合、該当部門の協力を得て、リスクアセスメントの見 直しを実施する。 ① 新たな個人情報が追加されたとき ② 組織の大幅な変更（組織の新設、統廃合、場所の移転） ③ 提供する製品、サービスの変更 ④ 業務の進め方の変更 ⑤ 新たな脅威、脆弱性を認識したとき ⑥ 外部環境、例えば新たな法律の制定 ⑦ 外部及び内部の課題の変化 ⑧ 顧客等利害関係者の要求事項の変化 なお、リスクアセスメントの結果、必要に応じ「リスクアセスメント結果表」「リスク対応計 画書」を改訂し、承認を得る。

8.3

個人情報保護リスク対応

実施責任者は、「リスク対応計画書」に記載されている計画を実施する。 また、P マーク推進室は、２ヶ月に 1 回、「リスク対応計画書」の進捗状況をチェックして、 記録し、計画に遅延または障害が生じた場合は、実施責任者と対応を協議する。

９ パフォーマンス評価

9.1

監視、測定、分析及び評価

当社は、個人情報保護パフォーマンス及び個人情報保護マネジメントシステムの有効性を評価 し、次の事項を決定する。また、監視及び測定の結果の証拠として、文書化した情報を保持する。 (1) 必要とされる監視及び測定の対象。これには、個人情報保護プロセス及び管理策を含 む (2) 該当する場合には、必ず、妥当な結果を確実にするための、監視、測定、分析及び評価の 方法 (3) 監視及び測定の実施時期 (4) 監視及び測定の実施者 (5) 監視及び測定の結果の、分析及び評価の時期 (6) 監視及び測定の結果の、分析及び評価の実施者 監視・測定対象 分析・評価方法 監 視 及 び 測 定 の 実施時期 結果の分析及 び評価の時期 担当部門 （実施者） セキュリティログ（ア クセスログ） 傾向分析 都度 毎月 システム 管理者 設定 したセキュリ テ ィ目標 P マーク推進委員 会にて評価 毎月 毎年 2 月 各部門 情報 セキュリティ 事 象（ヒヤリハット） 傾向分析 都度 毎年 2 月 P マ ー ク 推 進室

9.2

内部監査

9.2.1

内部監査の目的

当社の個人情報保護マネジメントシステムの管理目的、管理策、プロセス、手順が次の事項 を満たしているか確認する。 ① 当社の基本方針、本個人情報保護マニュアルが JISQ15001：2017 に適合していること。 また関連する法令または規制（顧客要求含む）に適合していること。 ② 本個人情報保護マニュアル及び管理策運用規定、情報セキュリティ安全管理規定に適合 していること。 ③ 有効に実施され、維持されていること。

9.2.2

内部監査プログラム

(1) 内部監査は、年 1 回実施する。また個人情報管理責任者が必要と認めた場合、臨時監査を 実施することができる。 (2) 内部監査責任者は、監査対象の状況と重要性、ならびにこれまでの監査結果を考慮して、 監査プログラムを策定し、個人情報管理責任者の承認を得る。

9.3.2

マネジメントレビューのインプット

個人情報管理責任者は、下記の事項をインプット情報として、社長に報告を行う。 No インプット項目 参照記録 1 前回までのマネジメントレビューの結果とった処置の状 況 前回の個人情報保護マネジメントシス テムマネジメントレビュー議事録 2 個人情報保護マネジメントシステムに関連する外部及び 内部課題の変化 リスク一覧表 3 不適合及び是正処置 是正処置に関する報告書 セキュリティインシデント報告書 4 監視及び測定の結果 管理策測定評価表 個人情報保護マネジメントシステムの 有効性レビュー実施結果表 5 監査結果 内部監査報告書、外部監査報告書 是正処置に関する報告書 6 個人情報保護目的の達成 情報セキュリティ目標管理表 7 利害関係者（顧客等）からのフィードバック 顧客等からの通達 8 リスクアセスメントの結果及びリスク対応計画の状況 リスク一覧表 リスクアセスメント結果表 リスク対応計画書 9 継続的改善の機会 情報セキュリティ事象記録簿 是正処置に関する報告書

9.3.3

マネジメントレビューのアウトプット

社長は、個人情報管理責任者からのマネジメントレビューのためのインプット情報を根拠に、 マネジメントレビューとして以下の指示を行う。 (1) 継続的改善の機会 (2) 個人情報保護マネジメントシステムのあらゆる変更の必要性に関する決定

9.3.4

マネジメントレビューの記録

個人情報管理責任者は、マネジメントレビューの結果は記録に残し、具体的な対応は、P マー ク推進委員会において検討を行う。

10 改善

10.1

不適合及び是正処置

各該当部門の該当者は、不適合が発生した場合、次の事項を実施し、「是正処置に関する報告 書」に、その結果を記録し、保持する。 (1) その不適合を特定し、該当する場合には、必ず次の事項を実施する。 1) その不適合を管理し、修正するための処置をとる 2) その不適合によって起こった結果に対処する (2) その不適合の再発又は他のところで発生しないようにするため、次の事項を実施し、その 不適合の原因を除去するための処置をとる必要性を評価する。 1) その不適合のレビュー 2) その不適合の原因の明確化 3) 類似の不適合の有無又はそれが発生する可能性の明確化 (3) 必要な処置を実施する。 (4) とった全ての是正処置の有効性をレビューする。 (5) 必要な場合には、個人情報保護マネジメントシステムの変更を行う。

10.2

継続的改善

当社は、個人情報保護マネジメントシステムの適切性、妥当性及び有効性を継続的に改善す るために、以下の活動を行う。 (1) 個人情報保護マネジメントシステムの実施状況の監視、見直し結果（外部／内部監査結果、 日常点検、セキュリティインシデントの反省、顧客要求など）に基づく是正処置の実施 (2) 当社個人情報保護マネジメントシステムの枠組みについての見直しによる改善（マネジメ ントレビュー、文書の見直し） (3) セキュリティ目標の達成と、さらなるセキュリティレベルの向上を目指した目標の設定 (4) 外部及び内部の課題の変化に即応したリスク対応（リスクアセスメント、リスク対応計画 の見直しなど）

JISQ15001:2017 に完全対応した個人情報保護マニ

ュアルサンプル（P マークマニュアルサンプル）を

有料にて、ワードファイルで提供中です。

有料版には、目次のすべてが含まれています。

提供価格：16,200 円（税込）

購入方法： １．下記のホームページのお問い合わせにて、E メールで購入のご連絡をお願い致します。 → https://www.iso-mi.com/ ご要望欄に、「P マークマニュアルサンプル購入希望」ご記入ください。 ２．当事務所にメールが届き、確認次第、請求書と共に入金口座をお知らせ致します。なお、 振り込み手数料については、ご負担頂けますようお願い致します。 ３．ご入金が確認でき次第、E メールにて納品致します。領収書が必要な場合は、お申し出 ください。※また、納品したファイルが開けない、破損している場合は、その旨をご連 絡下さい。交換致します。その他ご質問等は下記のメールアドレスにてお願い致します。 注意事項： １．本商品（Ｐマークマニュアルサンプル）を転売する等の商用利用※を禁止致します。 ※ 商用利用とは、顧客等へのコンサルツールの利用も含みます。 ２．本商品（Ｐマークマニュアルサンプル）にあるサンプル文例は、あくまでもサン プルですので、実際の文面は、必ず自社の実態にあったものをお書きください。 ３ 個人（顧問を含む）やコンサルタント事業者様、士業様には、 ご購入は、ご遠慮頂いております。 以 上