改訂年月日
改訂番号 1
※購入希望の場合は、
https://www.iso-mi.com/
P マークの取得及び更新に必須となる文書のサンプルです。
ページ最後の購入方法をご確認ください。修正可能なワードファイルで提供しています。
【編集可能!】個人情報保護管理策運用規定
JIS Q
15001:2017 適 用
承 認
(社 長)
作 成
(管理責任者)
6 月 1 日 6 月 1 日
株式会社 サンプル
非 管 理 版
目 次
Ⅰ.一般(A.3.1)··· P4
Ⅱ.個人情報保護方針(A.3.2) ··· P4
1.内部向け個人情報保護方針(A.3.2.1) ··· P4
2.外部向け個人情報保護方針(A.3.2.2) ··· P4
Ⅲ.計画(A.3.3)··· P4
1.個人情報の特定(A.3.3.1) ··· P4
2.法令、国が定める指針その他の規範事項(A.3.3.2) ··· P5
3.リスクアセスメント及びリスク対策(A.3.3.3) ··· P6
4.資源、役割、責任及び権限(A.3.3.4) ··· P6
5.内部規程(A.3.3.5) ··· P7
6.計画策定(A.3.3.6) ··· P8
7.緊急事態への準備(A.3.3.7) ··· P8
Ⅳ.実施及び運用(A.3.4) ··· P9
1.運用手順(A.3.4.1) ··· P9
2.取得、利用及び提供に関する原則(A.3.4.2) ··· P9
2.1 利用目的の特定(A.3.4.2.1) ··· P9
2.2 適正な取得(A.3.4.2.2) ··· P9
2.3 要配慮個人情報(A.3.4.2.3) ··· P9
2.4 個人情報を取得した場合の措置(A.3.4.2.4) ··· P10
2.5 A.3.4.2.4 のうち本人から直接書面によって取得する場合の措置(A.3.4.2.5) P10
2.6 利用に関する措置(A.3.4.2.6) ··· P11
2.7 本人に連絡又は接触する場合の措置(A.3.4.2.7) ··· P11
2.8 個人データの提供に関する措置(A.3.4.2.8) ··· P11
2.8.1 外国にある第三者への提供の制限(A.3.4.2.8.1) ··· P12
2.8.2 第三者提供に係わる記録の作成など(A.3.4.2.8.2) ··· P12
2.8.3 第三者提供を受ける際の確認など(A.3.4.2.8.3) ··· P13
2.9 匿名加工情報(A.3.4.2.9) ··· P13
3.適正管理(A.3.4.3) ··· P13
3.1 正確性の確保(A.3.4.3.1) ··· P13
3.2 安全管理措置(A.3.4.3.2) ··· P13
3.3 従業員の監督(A.3.4.3.3) ··· P13
3.4 委託先の監督(A.3.4.3.4) ··· P14
4.個人情報に関する本人の権利(A.3.4.4) ··· P14
4.1 個人情報に関する権利(A.3.4.4.1) ··· P14
4.2 開示等の求めに応じる手続き(A.3.4.4.2) ··· P15
4.3 保有個人データに関する事項の周知など(A.3.4.4.3) ··· P15
4.4 保有個人データの利用目的の通知(A.3.4.4.4) ··· P15
4.5 保有個人データの開示(A.3.4.4.5) ··· P15
4.6 保有個人データの訂正、追加又は削除(A.3.4.4.6) ··· P16
4.7 保有個人データの利用又は提供の拒否権(A.3.4.4.7) ··· P16
5.認識(A.3.4.5)··· P16
Ⅴ.文書化した情報(A.3.5) ··· P17
1.文書化した情報の範囲(A.3.5.1)··· P17
2.文書化した情報の管理(A.3.5.2)··· P17
3.文書化した情報のうち記録の管理(A.3.5.3)··· P17
Ⅵ.苦情及び相談へ対応(A.3.6) ··· P17
1.苦情及び相談へ対応(A.3.6) ··· P17
Ⅶ.パフォーマンス評価(A.3.7) ··· P17
1.運用の確認(A.3.7.1) ··· P17
2.内部監査(A.3.7.2) ··· P18
3.マネジメントレビュー(A.3.7.3) ··· P18
Ⅷ.是正処置(A.3.8) ··· P18
1.是正処置(A.3.8) ··· P18
改訂歴表
Ⅰ 一般(A.3.1)
1
一般(A.3.1.1)
この管理策に規定する A.3.2 から A.3.8 は、社長によって権限を与えられた者によって、組織が定
めた手段に従って承認する。
Ⅱ
個人情報保護方針(A.3.2)
1
内部向け個人情報保護方針(A.3.2.1)
社長は、当社の個人情報保護の行動指針として、以下のことに配慮して個人情報保護方針を定め、
事務所内に掲示し、組織内に伝達する。
(1) 当社の事業内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること(目
的外利用を行わないこと及びそのための措置も含む)
(2) 個人情報に取扱いに関する法規制、国が定める指針及び当社が同意するその他の規範(要求
事項)を遵守する約束を含むこと
(3) 個人情報の漏えい、滅失又はき損の防止及び是正に関すること
(4) 苦情及び相談への対応に関すること
(5) 個人情報保護マネジメントシステムの継続的改善に関すること
(6) 社長の氏名
2
外部向け個人情報保護方針(A.3.2.2)
社長は、外部向けにも個人情報保護方針を定め、一般にも入手可能なように自社 HP にアップし、以
下の事項を明確にして、一般公開する。
(1) 制定年月日及び最終改正年月日
(2) 外部向け個人情報保護方針の内容についての問い合わせ先
Ⅲ 計画(A.3.3)
1
個人情報の特定(A.3.3.1)
当社の保有する全ての個人情報を明らかにするために、個人情報の特定を行う。特定された個人情
報については登録を行い、以下の項目に留意して行う。
(1) 個人情報の特定手順
個人情報の特定(個人情報のリスク評価及び個人情報登録)の手順は、下記の通りに行う。
(2) 個人情報の登録
個人情報を取り扱う担当者は、事業活動又はサービスに関する個人情報の洗い出しを行い、「個
人情報管理台帳に記入し、個人情報管理責任者の承認を得る。
(3) 個人情報の登録見直し
個人情報の取扱い担当者は、個人情報の取扱い変更・終了があった場合、ただちに、個人情報
管理責任者に申し出る。さらに、個人情報管理責任者は、個人情報の登録に問題がないか、も
しくは最新のものであるか、毎年3月に見直しを実施し、社長の承認を得る。
(4) 個人情報の取扱い
特定した個人情報については、個人データと同様に取扱い、詳細は、「個人情報取扱い規定」に
記述する。
2 法令、国が定める指針その他の規範事項(A.3.3.2)
当社は、個人情報に関する法令及び国が定める指針その他の規範を特定し、参照できる手順を確立し、
かつ維持する。
(1) 法令及び国が定める指針その他の規範情報の特定
法令及び国が定める指針その他の規範情報は、管理担当者がそれぞれ行政、関連機関等より入
手する。
(2) 法令及び国が定める指針その他の規範の調査
管理担当者は、個人情報に関する法令及び国が定める指針その他の規範の具体的な適用内容の
調査を行い、必要に応じて、関係者へのヒアリングを行う。
(3) 法令及び国が定める指針その他の規範の登録
管理担当者は、個人情報管理責任者の承認を得て、当社が順守すべき法令及び国が定める指針
その他の規範は、「法規制登録台帳」にて登録を行う。
(4) 登録内容の周知
管理担当者は、登録された法令及び国が定める指針その他の規範の内容について、社員全員に
周知徹底を行う。
(5) 情報の見直し
管理担当者は、法令及びその他の規範の情報を最新のものとするために、以下の項目に留意し
て見直しを行い、個人情報管理責任者の承認を得る。
① 1回/年の定期(3月)及びインターネットの法令サイトの巡回による都度の見直し
② 事業活動、又はサービスの新規及び変更があったとき
③ その他法規制の制定・改正、利害関係者の要求等による個人情報保護マネジメントシステム
に影響を与える事態が発生したとき
3 リスクアセスメント及びリスク対策(A.3.3.3)
当社は、A.3.3.1 によって特定した個人情報におけるリスクを認識し、評価・分析を実施し、実行す
べき対策を行う。対策を講じた後は、残存リスクの把握を行う。なお、目的外利用を行わないための
必要な対策手順は、「個人情報取扱い規定」に記述する。
(1) 個人情報のリスク評価
個人情報管理責任者は、特定した個人情報について、各責任者と協議して、総合的に考慮して
リスク評価行う。詳細は、「個人情報保護マニュアル」に記述する。
(2) 対策案の検討
個人情報管理責任者は、リスク評価された個人情報について、対策案の検討を P マーク推進委
員会で行い、対策案の決定を行う。決定した対策については、「安全管理規定」に記述し、個人
情報管理責任者は社内に周知・徹底を行う。
(3) リスクの見直し
個人情報管理責任者は、毎年年度末に、実施したリスク評価を見直し、社長の承認を得る。
4
資源、役割、責任及び権限(A.3.3.4)
社長は、次の責任及び権限を割り当てる。詳細は、「安全管理規定」に記述する。
(1) 個人情報管理責任者
(2) 個人情報監査責任者
5 内部規程(A.3.3.5)
当社は、個人情報を保護するため内部規程を策定し、維持する。
(1) 内部規程の策定手順
① 個人情報管理責任者は、内部規程案を作成し、P マーク推進委員会で審議して、社長が承認する。
② 内部規程の作成に関しては、次の項目を含むこととし、「文書管理規定」に定める。
No 対応項目 対応文書
1 個人情報を特定する手順に関する規定 「個人情報保護マニュアル」
2 法令、国が定める指針その他の規範の特
定、参照及び維持に関する規定
「個人情報保護マニュアル」
「法規制登録台帳」
3 個人情報保護リスクアセスメント及び
リスク対策手順に関する規定
「個人情報保護マニュアル」
「安全管理規定」
4 組織の各部門及び階層における個人情
報を保護するための権限及び責任に関
する規定
「安全管理規定」
5 緊急事態への準備及び対応に関する規
定
「事故・緊急時対応規定」
6 個人情報の取得、利用及び提供に関する
規定
「個人情報取り扱い規定」
7 個人情報の適正管理に関する規定 「安全管理規程」
8 本人からの開示等の請求等への対応に
関する規定
「個人情報取り扱い規定」
9 教育などに関する規定 「個人情報取り扱い規定」
「安全管理規定」
10 文書化した情報の管理に関する規定 「文書管理規定」
11 苦情及び相談への対応に関する規定 「個人情報取り扱い規定」
12 点検に関する規定 「個人情報保護マニュアル」
「安全管理規程」
13 是正処置に関する規定 「個人情報保護マニュアル」
14 マネジメントレビューに関する規定 「個人情報保護マニュアル」
15 内部規程の違反に関する罰則の規定 「安全管理規定」
「就業規則」
(2) 内部規程の見直し
個人情報管理責任者は、P マーク推進委員会で審議して、内部規程の見直しを以下の項目に留意
して行う。
① 1回/年(3月)の定期
② 事業活動、サービスの新規及び変更があったとき
③ その他法規制の制定・改正、利害関係者の要求等による個人情報保護マネジメントシステムに影
響を与える事態が発生したとき
2 内部監査(A.3.7.2)
当社は、個人情報保護マネジメントシステムの JISQ15001:2017 の要求事項への適合状況及び個人情
報保護マネジメントシステムの運用状況の監査を年 1 回行う。具体的な手順については、「内部監査規
定」に記述する。
3
マネジメントレビュー(A.3.7.3)
社長は、「個人情報保護マニュアル 9.3」に規定するマネジメントレビューを、「マネジメントレビュ
ーのための報告書」に基づいた情報を考慮し、年 1 回実施し、個人情報保護マネジメントシステムを
見直す。「マネジメントレビューのための報告書」には、以下の事項を含める。
(1) 監査及び個人情報保護マネジメントシステムの運用状況に関する報告
(2) 苦情を含む外部からの意見
(3) 前回までの見直しの結果に対するフォローアップ
(4) 個人情報の取扱いに関する法規制・条例等の新規制定・変更
(5) 社会情勢の変化、国民意識の変化、技術の進歩などの環境の変化
(6) 当社の事業領域の変化
(7) 内外から寄せられた改善提案
Ⅷ
是正処置(A.3.8)
1 是正処置(A.3.8)
当社は、不適合の再発防止のために是正処置をとる。この処置は不適合のもつ影響に見合うものと
する。その実施にあたっては、以下の手順を「是正処置に関する報告書」に含め、実施する。
(1) 不適合の内容確認、社長の承認を得る
(2) 不適合の原因を特定し、是正処置を計画する
(3) 期限を定め、計画された処置を実施する
(4) 是正処置の結果の記録
(5) 是正処置の有効性のレビュー
JISQ15001:2017 に完全対応した「個人情報保護管
理策運用規定」を有料にて、ワードファイルで提供
中です。
有料版には、目次のすべてが含まれています。
提供価格:16,200 円(税込)
購入方法:
1.下記のホームページのお問い合わせにて、E メールで購入のご連絡をお願い致します。
→ https://www.iso-mi.com/
ご要望欄に、「個人情報保護管理策運用規定サンプル購入希望」ご記入ください。
2.当事務所にメールが届き、確認次第、請求書と共に入金口座をお知らせ致します。なお、
振り込み手数料については、ご負担頂けますようお願い致します。
3.ご入金が確認でき次第、E メールにて納品致します。領収書が必要な場合は、お申し出
ください。※また、納品したファイルが開けない、破損している場合は、その旨をご連
絡下さい。交換致します。その他ご質問等は下記のメールアドレスにてお願い致します。
注意事項:
1.本商品(個人情報保護管理策運用規定サンプル)を転売する等の商用利用※を禁止致し
ます。 ※商用利用とは、顧客等へのコンサルツールの利用も含みます。
2.本商品(個人情報保護管理策運用規定サンプル)にあるサンプル文例は、あくまでもサ
ン
プルですので、実際の文面は、必ず自社の実態にあったものをお書きくだ
さい。
3 個人(顧問を含む)やコンサルタント事業者様、士業様には、
ご購入は、ご遠慮頂いております。
以 上
