ISO認証取得支援機構　NPO法人 ISO-SCC　プライバシーマークとは

特定非営利活動法人　ISO認証取得支援機構

サイトマップ

ISO9001、14001、18001、プライバシーマーク、ISMS、
HACCPのシステム構築、運用、教育、内部監査を
支援し、経営基盤の強化をお手伝いします。

NPO法人 ISO-SCCトップページ

サービス紹介

プライバシーマークとは

	Pマーク（プライバシーマーク）制度とは

	CP（コンプライアンス・プログラム）とは

	組織

	PマークとISMSの違いは

	コンサルティング概要

	システム運用（認証）のステップ

	資料請求

JIS Q 15001：2006　（個人情報保護マネジメントシステム-要求事項）

近年における情報処理技術の著しい発展は、コンピュータによる大量、かつ、迅速な情報処理を可能とし、個人指向のクレジットローンなどの消費者信用取引、ダイレクトマーケティングなどにおいて、ニーズの多様化・個性化に対応した効率的な事業活動の展開を容易にしている。

こうした情報化の急速な発展に伴って、様々な事業者が情報システムを利用して個人情報を取り扱うことが可能になった結果、個人情報が分散した形で蓄積・利用される可能性が高まり、情報の不適切な利用、改ざんなどが行われる恐れが強まっている。

個人情報の適切な利用と保護がきわめて重要となっており、国際的にも個人情報保護の強化に向けた取り組みが行われてきている。個人情報を保護する為には、各事業者の自主的な取り組みが重要であり、こうした取り組みを進めるに当たって、体系的で全経営活動に統合された個人情報保護マネジメントシステムを策定し、実施し、維持し、及び継続的に改善していくことが必要である。

Pマーク（プライバシーマーク）制度とは

1995年のEU指令の採択によって、日本としても第三国として個人情報保護対策が必要になったことを機に、1998年に(財)日本情報処理開発協会を付与機関としてプライバシーマーク認定制度が発足しました。

この制度は日本工業規格JISQ15001:2006に基づいて、個人情報の保護に対する取り組みが適切な事業者に「プライバシーマーク」を付与する制度です。

ページのトップへ戻る

PMS（個人情報保護マネジメントシステム）とは

個人情報保護マネジメントシステムは、コンプライアンス（一般的に「法令順守」と訳され、法律・企業内の規定・社会規範・倫理などを守ること）を含め、個人情報を適法･適正に取り扱うための仕組みを指します。大まかにいえばそうした社会のルール、企業内のルールを守るためのプログラム（システム）といえるでしょう。

日本工業規格JISQ15001:2006の要求事項に適合する経営管理の仕組みで、企業が保有する個人情報を保護するための計画・実行・チェック・改善行動（PDCA）のマネジメントシステムです。

ページのトップへ戻る

組織

組織図の例

トップマネジメント：	事業者の代表者（事業者とは、事業を営む法人、その他の団体又は個人をいう。）
管理者：	事業者の内部において代表者によって指名されたものであって、コンプライアンス・プログラムの実施及び運用に関する責任と権限をもつ者。
推進事務局：	管理者を支援し、規格を理解し、組織での運用を指導する。現状分析、個人情報の特定、リスク分析・評価、コンプライアンス・プログラムの作成、運用の実務を行う専任あるいは兼務による組織。各部署の代表者（プロジェクトメンバー）で構成すれば事務局活動が比較的容易となる。
監査責任者：	事業者の代表者によって指名されたものであって、公平、かつ、客観的立場にあり、監査の実施及び報告を行う権限をもつもの。
教育責任者：	規格の要求事項である、「事業者が役員及び従業員に行う適切な教育」を行うための責任者。
苦情窓口：	規格の要求事項である、「情報主体（一定の情報によって識別される、又は識別され得る個人）からの苦情又は相談を受け付けて対応する」ための窓口。

ページのトップへ戻る

PマークとISMS（Information security management system）の違いは

ISMSは近年のインターネットの普及やブロードバンドの拡大に伴い、情報や情報システムを犯罪や災害（ウイルス、不正アクセス、火災、水害、地震、侵入、持ち出し、破壊等々）から守るためのマネジメントシステムであり、イギリスのBS7799及びJIS X 5080（情報セキュリティマネジメントの実践のための規範）を取り入れた制度です。

運用はPマーク（プライバシーマーク）と同じく(財)日本情報処理開発協会が行っている。PマークとISMSの関係を図で表現すると下図のようになるでしょう。

ページのトップへ戻る

コンサルティング概要

コンサルティングスケジュール

JISQ15001への取り組みは、事業者の代表者（経営者）による認証宣言、管理者、推進チームを編成することから始まります。
その後認証までのスケジュールを策定します。ここまでを準備期間とします。

実質的な取り組みは、自社の各部署の業務の流れを整理することから始まります。その業務の流れの中でどのような個人情報がどのように取り扱われているか、個人情報保護の現状を正確に把握します。この作業が自社にあったコンプライアンス・プログラムを構築するためのキーポイントとなります。

把握した個人情報についてリスクの程度の分析・評価を行います。これらをふまえ、コンプライアンス・プログラム（社内規定、マニュアル、様式等）を構築していきます。ここまでが1stステージで約3ヶ月のコンサル期間を見込んでいます。

ある程度の完成度でコンプライアンス・プログラムができたら、運用を行います。この試行運用のなかで内部監査や各部署の監視・チェックにより問題点を抽出し、改善しながら完成度の高いシステムにしていきます。この課程を2ndステージとして約3ヶ月を見込んでいます。

この時点で申請が可能で、文書審査、現地調査、審査会を経てPマーク使用契約を結ぶことになります。申請からPマーク使用契約までの期間は各指定機関の混み具合にもよりますが、現在かなりの待ち時間（3～4ヶ月）が必要です。

■コンサルティングフロー

JISQ15001　概要説明		構築支援約3ヶ月

社内体制の整備支援

現状分析・リスク評価の支援

CPの構築支援・個人情報保護方針の策定・社内規定の作成・マニュアルの作成・様式の作成

運用開始宣言		運用支援約3ヶ月

改善活動（運用状況確認）

内部監査（運用状況確認）

事業者の代表による見直し

申請		申請・受審支援約3ヶ月～6ヶ月

文書審査

現地調査（審査）

審査会

Pマーク使用契約

内部監査（運用後の確認）		メンテナンス

費用

受審組織の経営資源の投入を最小とするには、内部監査の実施も含め20日間（現地コンサル14日間）のコンサル実施を標準と考えております。また、Pマークの使用許可を取得するには指定機関の審査を受ける必要があります。

当機構では、法人企業の負担低減を実現するために相互が協議して効果的な活動を実現したいと考えています。
費用についての詳細は、当機構の事務局にお問い合わせください。

標準費用のページへ

ページのトップへ戻る

システム運用（認証）のステップ

JISQ15001　：2006　（個人情報保護マネジメントシステム-要求事項）

JISQ15001の要求事項は１.適用範囲　２.用語及び定義　３．要求事項で構成されています。

受審組織が実施しなければならない要求事項は「３．要求事項」です。
３.1～３.３が計画（PLAN）、３．４～３．６が実施（DO）、３．７，３．８が点検（CHECK）、３．９が見直し・改善（ACT）を要求しています。

３　要求事項

３．１　一般要求事項
３．２　個人情報保護方針
３．３　計画

	PDCAの継続実施

３．４　実施及び運用
３．５　個人情報保護マネジメントシステム文書
３．６　苦情及び相談への対応

３．７　点検
３．８　是正及び予防処置

３．９　事業者の代表者による見直し

PDCAの管理サイクルとは

参考　”Plan-Do-Check-Act”（PDCA）として知られる方法論は、あらゆるプロセスに適用できる。PDCAを簡潔に説明すると次のようになる。

Plan：	顧客要求事項及び組織の方針に沿った結果をだすために、必要な目標及びプロセスを設定する。
Do：	それらのプロセスを実行する。
Check：	方針、目標、製品要求事項に照らしてプロセス及び製品を監視し、測定し、その結果を報告する。
Act：	プロセスの実施状況を継続的に改善するための処置をとる。