個人情報保護マネジメントシステム(Personal information protection Management Systems。以下、PMS)とは、「個人情報を安全に取り扱うための仕組み」を指しています。この仕組の基本は、「計画(Plan)」「実施(Do)」「点検・評価(Check)」「改善(Act)」を行う「PDCAサイクル」をまわすことです。
企業や組織は、 日本産業規格のJIS Q 15001 「個人情報保護マネジメントシステム-要求事項」に記載されている項目にしたがって、個人情報を安全に取り扱うための仕組みを作り上げ、実際に運用し、運用状況をチェックし、そして仕組みを改善し、よりよい個人情報の取り扱いを行えるよう努めることが求められています。
本書の目的はPMSを構築するため、背景と実施事項のアウトラインを理解することです。詳細度合いは中程度とご認識ください。
概要
本書を読み進める前提として、以下をご一読いただくことをオススメします。
- P マーク(プライバシーマーク制度)とは?取得までの流れや ISMS 認証との違いなどを解説
- JIS Q 15001とは?プライバシーマーク制度( P マーク)や ISO/IEC 27001との違いを解説
- ISMS 認証と P マークの違いとは?初心者にも分かりやすく解説
- Pマーク(プライバシーマーク)取得の方法・流れを紹介
- Pマーク(プライバシーマーク)の新規取得にかかる費用は?更新費用もあわせて紹介
余力があれば、プライバシーマーク制度自体も見てみましょう。
本旨
ここから、背景(個人情報保護とは)と、実施事項(ISMSとの比較と、SecureNaviで実施すること)を記載します。
個人情報保護とは
何を守りたいか
個人情報保護法_第一条_目的に「…個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」と記載があります。守るのは「個人情報」ではないんです。「個人の権利利益」を守るんです。
「個人情報の有用性」とは何かというと、本人と本人以外も考える必要があります。
- 本人が目的通りのサービスを受ける → 本人に直接、有用性が生じる
- 災害時、家族が本人の居場所を知る → 回り回って、本人に有用性が生じる
- 感染症対策で、医療機関が感染者の行動履歴を知る → 本人以外に有用性が生じる(社会的に有用)
いずれも有用ですね。一方で、個人情報が想定外の使われ方をして、不当に(第三者の)有用性が生じるのは避けたいです。有用である反面、それを使ってお金儲けを考える人たちがいて、
- 個人情報を提供した企業から、望んでいないマーケティングメールがくる
- 個人情報を提供したつもりがない企業から、売り込み電話がかかってくる
- 行動履歴が出回り、企業からの対応に不利益が生じる(採用されないとか)
という権利利益の侵害が発生しました。これは防ぎたいですね(いわゆる「名簿屋対策」)。
やっていいこととダメなことを明確にすべく、個人情報保護法(と各種ガイドライン)で余すことなく定義しています(なので社会的通念上の感覚とズレはありません。お金儲けが絡んでいないプライバシーの侵害も、もちろんダメです)。
個人情報などの定義
個人情報とは、「①生存者性、②個人に関する情報であること、③個人識別性」という要件に当てはまるものです。特に「③個人識別性」が迷うポイントですね。
- 記述等により特定の個人を識別することができるもの
- 照合することで特定の個人を識別することができるもの
代表的な例は以下のとおりです。
- 個人情報
- 氏名、生年月日、メールアドレス、住所、年齢、社員番号、声の録音、顔が判別できる映像(画像、動画)
- 個人識別符号(生体情報や、免許証番号のような識別性が高い番号)
- 個人関連情報
- cookie情報、位置情報、閲覧履歴
- その他
- 仮名加工情報
- 匿名加工情報
ようするに実名や身元が分からなくても、事業者において「現実世界の誰か」が識別できれば個人情報です。「氏名」など、それだけで個人が識別できるのであれば単一で個人情報となります(メルアドで氏名+所属が把握できるものも同様)。一方、商品の購入履歴のような複合的な情報でも、照合することで個人が識別できれば個人情報になり得ます。
個人情報保護法の目的は冒頭の通り「個人情報そのもの」ではなく「個人の権利利益」を守りたいので、あくまで上記が限定的な例ではなく、都度見直されています。例えば「個人関連情報」は2022年4月に追加されましたが、これも社会的な事件がきっかけです。
上記の種類それぞれに、取り扱う上での義務が個人情報保護法で定義されています。
事業者の義務
個人情報保護法にて、以下太字の条項が事業者としてケアするポイントです。
全文は185条ありますが、事業者が把握しておくべき最低限の条項はそれほど多くないので、
一度いっきに読んでしまいましょう!! → 個情法へ
すごく軽くまとめると、個人情報を預かる事業者(保有者)に求められるのは以下です。
上記を適切に守るためにPMSでは、
- ①利用目的の同意
- ②台帳管理、安全管理措置、委託先管理、第三者提供記録
- ③窓口設置、問い合わせ方法の公表
を実施する必要があり、Pマークでは外部の視点でこれをチェックするわけですね(「個人情報の取り扱いについて」などで企業ホームページで公開するのもこれが理由で、「できてる宣言せよ!!」というわけです)
以下、PMSについて説明を進めていきますが、個人情報保護法とPMSで守りたいものは同じです(同意取得の厳密性などの違いはありますが、個情法条文の文意は、ほぼそのままPMSに踏襲されています)。あらためて、事業者がPMSを構築することは「社員やお客様の個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」と理解しましょう。
ISMSとPMSの違い
「この二つは何が違うの??」とよく聞かれます。
この違い(と共通性)を把握することでPMSの理解が非常に深まります。
情報資産と個人情報の違い
まず、軽くISMSを説明します。
正式名称:情報セキュリティマネジメントシステムなので、PMSよりも保護したい情報は広いです。ISMSで守りたいものは「情報資産」と呼びます。
上記の通り「自社のノウハウ全般や個人情報」、「他社(顧客)から預かる情報資産」が対象です。PMSと対象範囲を比較すると以下の通りです。
基本的にはISMSがPMSを兼ねます。
えっ、ISMS取得しているのにPMS範囲を網羅していないこともあるの??と思う方もいるかもですが、全然あります。詳細はセキュリティコンプライアンスラジオ【#5】ISMSを取っていればセキュリティレベルが高いと思いこんでいる人たちへをお聴きください。
誤解を恐れずに目的の違いを書くと、
- ISMS:情報セキュリティを通じて自社の事業を守る(ビジネス的に利害関係者の信頼を得る)
- PMS:個人の権利利益を守る(社員とお客様にフォーカスして守る)
となります。そのため、洗い出す情報粒度も異なることがあります。
ISMSでは個人情報は「顧客情報」や「社員情報」はひとまとめにしてもリスク管理上は問題ないのですが、PMSでは利用用途が違う個人情報をひとまとめにしてはいけません。
上記により、当然リスク対応にも違いが生じます。
リスク対応の違い
リスク対応は、ISMSではPMSの内容をカバーできない場合があります。
PMSはライフサイクルという考え方があり、情報を取得してから廃棄するまで安全に取り扱うことを厳しく見られます。代表的なのは「個人情報を取得する際は本人に同意を取りましょう(分岐はあります)」です。ISMSでは「法令(個情法)に従う」という意識づけはありますが、厳密に取得の実態までは見られません。
上記含めて、PMSで実施すべきリスク対応は以下の通り定められており、
「安全管理措置」として、組織的・人的・物理的・技術的措置が求められています。
- 個人情報保護法_第二十三条:個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
- 個人情報の保護に関する法律についてのガイドライン(通則編):講ずべき安全管理措置の内容
ガイドラインをみていただくとわかると思いますが、大きな枠組みはISMSとPMSは同じですね。
以下、すごく平易に記載してみました。
上記まではPMS特化の部分を記載しましたが、逆にISMSは上記図の対策が詳細に問われる点と、「システム開発/運用の安全管理」や「情報システム継続性」にまで求められる点が違いとなります。
ISMSとPマークの違い
ここからはいよいよ「Pマーク」についてです。事業者がPMSを完全自力で全て構築するのはかなり難しいので、Pマーク取得をきっかけに構築していくことが多いです。
PMSはあくまで仕組みの話ですが、Pマークは認証取得なので、若干考慮する範囲が変わります(外部に承認してもらうために、さまざまな記録が必要になります。もちろん、自社で仕組みを運用するためにも記録は重要ですが)
具体になりますが、ISMSと比較する形でPマークを見てみましょう。
基本的なPDCAは同じです(記録が増えるくらい)。
ISMS | Pマーク | |
適用範囲と目標 | ・全社 or 部門 | ・全社のみ (「個人情報取扱事業者」としての判断) |
役割 | ・全兼任化 (公平性は求められる) |
・個人情報保護管理者と 内部監査責任者は兼任不可 ・PMS社内体制表 |
組織の状況 | ・内部外部の課題 ・利害関係者のニーズと期待 |
・同左 |
方針 | ・情報セキュリティ方針 | ・個人情報保護方針 ・個人情報の取り扱いについて |
教育 | ・雇用関係者のみ | ・教育計画と実績表 ・指揮命令系統にある人すべて (派遣社員や受け入れ出向者も必須) |
管理台帳 | ・情報資産台帳 | ・個人情報管理基準一覧表(取得前) ・個人情報管理台帳(取得後) |
リスクアセスメント | ・発生可能性と影響度 ・受容基準 ・リスク対応の優先順 ・リスクリスト |
・ライフサイクルごと特定 ・残留リスク(基本ゼロ) ・リスク対応の優先順 ・リスク分析表(リスク対応含む) |
リスク対応 | ・適用宣言書 (管理策114個 or 95個) |
・ガイドライン通則編_安全管理措置 (管理措置14個、但し複合的) |
規程 | ・情報セキュリティマニュアル | ・PMS基本規程 ・PMS個人情報保護規程 ・ガイドライン通則編_安全管理措置 |
委託先管理 | ・モニタリング | ・覚書 ・モニタリング ・委託先管理台帳 |
内部監査 | ・規格本文 ・管理策 |
・規格本文(適合状況) ・規格本文(運用状況) ・安全管理措置(運用状況) |
管理文書一覧 | ・なし | ・PMS管理文書台帳 (方針、規程、様式、記録の管理) |
マネジメントレビュー | ・報告項目は自由 | ・報告項目は固定 |
その他 | ・ISMS委員会など、 定期的な運用記録が求められる |
・個人情報の取得に同意が必要 ・全ての記録に承認が必要 ・窓口対応記録 ・第三者提供/受領記録 ・事故時の委員会への報告 |
結局、ISMSに比べて増える(深度が増す)のは前述の通り以下です。
余談ですが、企業のHPにいろんなポリシーが書かれているなーと思うことがありますね。
それはISMSとPマークを取得しているから、というのが多いです(ポリシーにお作法を求められる)。
ISMSとPマークの共通点
すでにけっこう記載しましたが、改めて、ISMSとPマークで類似の情報を取り扱うのは以下です。
- 台帳管理:ISMSの方が範囲が広く、Pマークの方が粒度が細かい
- 安全管理措置:ISMSの方が範囲が広いが、一部Pマークの方だけの対応がある
- 委託先管理:台帳管理と同様の考え方
共通点を見定めつつ効率的に構築・運用していきましょう。
SecureNaviのPマーク機能
SecureNaviではシステムの利点を活かし、入力は一箇所にしつつ、審査の用途別に出力ができるようにして、管理コストの削減を実現しています。Word / Excelだけで完遂もできますが、本質的なPMS構築以外はとにかく軽くしたいという思いで、「Pマーク機能」を提供しています。
以下に、機能の概要(一部)を記載します。
詳細はSecureNavi_構築ガイドの「?」マークから、動画とマニュアルをご覧いただけます。
構築ガイド
Pマークは、制度の理解や記録の作成など、やることが多いです。
SecureNaviでは、ガイドの1番から順を追って、Pマーク取得にたどり着けるようになっています。
台帳管理と安全管理措置
個人情報の定義は上述のとおりですが、意外と自社の中でどこまで洗い出すべきか悩むものです。
SecureNaviでは、個人情報の種類や、リスク・リスク対応策のプリセットデータを活用しています。
法規制管理
Pマークは、個情法以外にも、ガイドラインを含めて多くの法規制をウォッチする必要があります。
SecureNaviでは、管理すべき法令案をデフォルトで準備しつつ、定期的に更新しています。
教育
Pマークでは少なくとも年に一回の教育が求められます。
SecureNaviでは、教材を提供しています。受講の進捗管理もできます。
委託先管理
個人情報を預けている委託先にも、自社と同様の安全管理措置を施しているかチェックが必要です。
SecureNaviでは、委託先モニタリング機能があり、委託可否判断の結果も蓄積できます。
内部監査
Pマークでは指針との適合状況、運用状況を内部監査する必要があります。
SecureNaviでは、テンプレを用意しつつ、各社独自の安全管理措置と連動して内部監査が可能です。
規程や文書
Pマークで必要なものは全て揃っています(入退室記録など、各社独自の記録は別途ご用意が必要です)
以上、スリムかつ効果的にPMSを構築して、
事業における「個人情報の有用性に配慮しつつ、個人の権利利益を保護」を実現していきましょう。
(SecureNavi未契約の方、ISMS/PMSに興味があれば製品デモを依頼ください!!)