1. 基本管理策

既に組織内にある情報セキュリティ管理策（規定化されたもの等）とISMS規格の付属書である133項目の管理策を対比させ、実施の有無および該当の有無のギャップを分析する。その結果、一部実施されている項目および実施されていない項目に関して、どのような対策を講ずるかを検討する（対策を「ギャップ分析対策表」へ記載）。これを基本管理規程とする。

2. 追加管理策

基本管理策とは別に、組織内にある全ての情報資産を洗い出し、各々の情報資産における「C：confidentiality（機密性）」と「I：integrity（完全性）」、「A：availability（可用性）」に関する調査と評価を行い、組織の情報資産を確定する（情報資産管理台帳の作成）。情報資産は、さらに保存形態や保存場所、資産の特徴などによりリスクのグループ化、リスク評価を行う。グループ別のリスク評価後、脆弱性が受容レベル以上の情報資産のみ対策を検討し、更に先の基本管理策で立てた対策で十分かを考慮し、再度対策を講じる。

3. 管理策の決定（適用宣言書）

講じられた対策の中で、最適化するもの、回避するもの、アウトソーシングなど移転するもの、とりあえず保存するものといったリスク対応を明確にする。この結果に対して経営者が承認することにより、組織としての情報資産への管理策が決定される（適用宣言書の作成）。決定された管理策は、ルール化するために各規程として明文化されることになる。

※上図は、リスクアセスメント体系の1つのモデルを示したものであります。

個人情報保護マネジメントシステム規格であるJIS Q 15001:2006では、品質マネジメントシステムや環境マネジメントシステムと同様のマネジメントシステムの原則を採用しています。
方針に基づいた計画を作成し（Plan：計画）、計画に従って実行し（Do：実施）、実施内容を点検し（Check:点検）、見直し（Act：見直し及び改善）を行うという、PDCAサイクルをスパイラル的に継続することにより、事業者の管理能力を高めることになります。

この仕組みにより、事業者は個人情報の保護レベルを上げることが期待されています。

JIS Q 15001は、2006年5月に改訂されました。

改訂前の規格は、個人情報保護法が全面施行される前に作られたものであり、その内容も個人情報保護法により新しく導入された概念や用語等が対応しておらず、法への適合状況が分かりづらい面がありました。

JIS Q 15001:2006では、個人情報保護法を取り組むことを最大の目標として改訂されており、これに適合した個人情報保護マネジメントシステムを構築し、適正に運用することが、個人情報保護法に遵守していると考えられます。

規格の構成においても、既にISO9001やISO14001を経験されている企業にとっては、計画→実施→点検→見直しといったものになっているため、理解されやすくなったといえます。

上図は、文書が羅列した規格より、全体像としてとらえていただくために作成したものです。各要求事項がどのような展開およびつながりをもっているかをあらわしています。

JIPDEC（財団法人 日本情報処理開発協会）では、JIS Q 15001:2006の理解を助けるために、ガイドブックを公表し、プライバシーマーク認定を目指す企業の手助けを行っています。

そもそも「プライバシーマーク制度」は、情報化社会における個人情報の保護の必要性から派生した制度であり、技術的なセキュリティ対策を踏まえた、個人情報を保護するためのマネジメントシステムを要求しています。

よって、プライバシーマーク制度においては、何らかの技術的なセキュリティ対策は必要であります。

しかし、どのような技術的なセキュリティ対策が必要なのでしょうか？

右図を見ても分かるように、プライバシーマーク制度とは、個人情報保護法を補完する文書から派生した民間の制度であります。

このことを考えると、本来であれば個人情報保護法を補完する文書。「JIS Q 15001」および「経済産業分野を対象とするガイドライン」を基準として考えるべきであります。

しかし、これらの文書には、ともに情報セキュリティツールに関連する明確な（具体的な）記述は見られません。

そこで、これら2つの文書を保管する文書。プライバシーマーク制度を管理する組織（JIPDEC）が発行している「JIS Q 15001 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン」を参考にすることが妥当だと考えられます。

この文書には、JIS Q 15001の各要求事項に対するチェック項目の記載があり、技術的対策に関しても、「JIS Q 15001」および「経済産業分野を対象とするガイドライン」のより具体的なチェック事項が記述されているといえます。

上図は、「JIS Q 15001 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン」をもとに、プライバシーマークにおいて必要と思われる技術的なセキュリティ対策を明確にしたものです。
（※ルール化によるセキュリティ対策は、除外しています。）

明確にするにあたり、管理策（セキュリティ対策）のガイドラインである「ISO17799（情報技術-セキュリティ技術-情報セキュリティマネジメントの実践のための規範）」に示される事項を参考としました。

これにより、プライバシーマークにおいて必要と思われる技術的なセキュリティ対策（情報セキュリティツール）とは、どのようなことがあるのかが、少しは明確にされたのではないでしょうか？

プライバシーマーク制度を認定取得するためだけに、既存の組織を変更することは避けたいもの。
実際、どのゆな役割が最低限必要とされているのか、ご存知でしょうか？

基準規格の「JIS Q 15001:2006」の中で登場する役割には、以下の3つが明確に記されています。
・事業の代表者
・管理者
・監査責任者

「事業の代表者」は、多くの場合、社長に当たる方となるでしょう。

「管理者」は、JIS Q 15001の定義によると「個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を持ち、それを実施する者」ということになります。つまり、JIS Q 15001で要求されている「事業の代表者」と「監査責任者」が実施すべき事項以外について、責任を持つ者ということです。
この役割には、教育の実施や苦情の受付。不正アクセス等のシステム的なリスクへの対応など多岐に渡ります。

「監査責任者」は、組織で定めたルールを全ての部署が実施しているかをチェックする役割があります。「管理者」と同様に、組織規模が大きくなればなるほど、1人で行うのは困難となります。

JIS Q 15001で必要とされる役割は、「事業の代表者」「管理者」「監査責任者」の3役であり、1人に1役設けたとすれば、3人となります。
「事業の代表者」が「管理者」を兼任すれば、最低2人でプライバシーマークの体制が整うということです。

しかし、組織の規模が大きくなればなるほど、3人あるいは2人で、その役割をこなす事は大変困難となります。
そこで、弊社が推奨するプライバシーマークの推進体制が、上図です。

この図では、先にあげた3役のほか、プライバシーマークの構築から運用までを一貫してサポートする役割を、分かりやすく細分化して示しております。

ちなみに、図では、先の3役を以下のような名称で定義しています。

・事業の代表者  →  個人情報保護委員会の委員長
・管理者  →  個人情報保護推進責任者
・監査責任者  →  監査の責任者

プライバシーマーク制度における基準規格が、2006年5月20日に改正され、その名称も今までの「個人情報保護に関するコンプライアンス・プログラム」から「個人情報保護マネジメントシステム－要求事項」に変わりました。

ISO9001などのマネジメントシステムを経験された方々にとっては、イメージをしやすい制度になったのではないでしょうか？

ただ、プライバシーマーク制度と、ISO9001やISO14001とは、制度の確立の根本に大きな違いがあります。

ISO9001やISO14001などの制度は、海外で使用されていたものを、そのまま日本に輸入したといえますが、プライバシーマーク制度においては、そのきっかけが国際情勢にあるものの、日本政府の個人情報保護の取り組みから派生してきたものなのです。

プライバシーマーク制度は、「メイド・イン・Japan」の制度なのです。

よって、その成り立ちの違いにより、基準規格は同じ「マネジメントシステム」となったものの、制度に関する根本の考え方が異なります。

上図をご覧いただければ分かるとおり、「プライバシーマーク制度」自体が、個人情報の漏えいなどの事件が続発したことから、ガイドラインを保管する制度として確立された制度であり、あくまでも個人情報保護法や各省のガイドラインなどへの対応を保管する役割色が強いのです。

ISO9001などの制度が、基準規格をよりどころにするのに対して（法規制の遵守はもちろんですが、）、プライバシーマーク制度は、あくまでも日本における「個人情報保護法」や「各省ガイドライン」ありきの傾向が強い制度であります。

申請書類の作成と申請

プライバシーマーク制度にかかる費用は、企業規模に応じて既に決められており、JIPDECのホームページにも公開されています。プライバシーマークでは、「プライバシーマーク付与認定申請チェック表及び申請書」や「会社概要」、「実在を証する公的書類」、「取扱う個人情報の概要」、「PMS一式」、「教育及び監査実施記録」など、申請の際に実施の記録の提出を要求されます。ISOやISMSが認証取得活動の開始と同時に申請するのに対して、プライバシーマークは、構築後の申請となります。

※申請書類に関しては、JIPDECのホームページより入手できます。

申請書類の受理・審査

記載内容及び申請資格の確認及び受理。CP等の個人情報保護の行動指針を定めた規程類の整備状況の視点から審査が行われます。

■審査における重要な条件
「個人情報管理者の指名及び個人情報を適切に取り扱う体制の整備」
「申請までに年1回以上、PMSの周知徹底措置（教育、研修等）の実施」
「申請までに1回以上、個人情報保護状況の内部監査」
「個人情報保護に関する窓口が常設され、かつ消費者への明示」
「外部及び内部からの個人情報漏えいに対する適切な安全措置」
「外部への個人情報の提供、委託を行う際の適切な保護措置」

現地調査

現地調査では、実際に審査員が現地に赴いて、以下のようなことを実施します。
1.代表者へのインタビュー
2.運用状況の確認
3.現場での実施状況の確認
4.総括

認定可否の決定と通知

書類審査及び現地調査の結果に基づき、プライバシーマーク付与認定の可否を決定し、申請者へ審査結果の通知が送付されます。

使用許諾証の交付

プライバシーマークの使用許諾契約書とともに、使用許諾証が交付されます。プライバシーマークの使用に関する契約期間は2年間となっているため、ISOやISMSと同様に2年後の契約が切れる際に、更新審査を受けることになります。
初めてプライバシーマーク制度の認定を受ける際に必要な費用の合計は、企業の規模および業種により異なっております。

小規模（※1）300,000円　/　中規模（※1）600,000円　/　大規模（※3）1,200,000円

※1） 小規模とは、常時使用する従業者数が20人（商業又はサービス業に属する事業を主たる事業として営むものについては5人）以下の事業者。
※2） 中規模とは、以下の資本金または従業者のいずれかを満たす場合となります。
製造業その他__資本金（3億円以下）/ 従業者（300人以下）
卸売業__資本金（1億円以下）/ 従業者（100人以下）
小売業__資本金（5千万円以下）/ 従業者（50人以下）
サービス業__資本金（5千万円以下）/ 従業者（100人以下）
※3）中規模の規模を超える事業者。

更新審査

更新審査では、ほぼ初回の審査と同じ手続きを行うことになります。
更新にかかる費用は、申請料、審査料、マーク使用料からなっております。

小規模 220,000円　/　中規模 450,000円　/　大規模 900,000円

※ 審査料金に関しては、改訂される場合がありますので、JIPDECホームページより事前にご確認ください。

■基本方針の策定
事業の代表者は、個人情報の収集、利用、提供に関する保護方針を策定します。
保護方針には、以下の事項を明記しなければなりません。

・ 何のために個人情報保護活動を行うのか
・ 法規制、国が定める指針に遵守すること
・ 個人情報の漏洩、滅失、毀損の防止と是正の実施
・ 苦情や相談に対応するための窓口の設置
・ PMSを継続的に改善する活動
・ 代表者の名前

■推進チームの設立
事業の代表者はPMS（個人情報マネジメントシステム）構築に向け、個人情報保護責任者を指名し、推進事務局を立ち上げます。
この推進事務局が、PMS構築の実働部隊となります。
推進事務局は、PMS構築および導入スケジュールを計画します。

2. 個人情報および法規定、国が定める指針の特定

■個人情報の特定
推進事務局が中心となり、個人情報の洗い出しを行います。
どのように収集（入手経路）、利用（利用目的、取扱部門）、保管（場所、保管形態、保管期間）、廃棄（廃棄の方法）しているか。また、預託、委託しているかを個人情報業務フローおよび個人情報管理台帳にて明確にします。
個人情報の洗い出し作業は、大変労力がいる作業となるため、推進事務局で洗い出しの方法を定め、関係者の協力を得ながら進める必要があります。

■法規制、国が定める指針の特定
自社が取り扱う個人情報に関する法規制や国が定める指針の有無を確認します。
該当する法規制または指針があれば、JISQ15001に優先して適用する必要があります。なお、業界ガイドラインにおいては、JISQ15001と合わせて遵守すべきであるが、要求がJIS規格よりも下回ったものは、JIS規格を優先させます。

3. ギャップ分析・リスク評価

先のステップで特定した個人情報に関して、取得・入力→移送・送信→利用・加工→保管・バックアップ→消去・廃棄における各局面での想定されるリスクを洗い出します。
作業および後の管理の効率化のため、同じ流れをもつ個人情報は、パターン化してまとめます。
リスクの認識、分析及び対策においては、個人情報をいかに守るかといった観点からでなく、例えば取得、利用における本人の同意が得られていないという「取扱いのリスク」も考慮する必要があります。
これらのリスクを認識した上で、分析・評価し、対策を検討することになります。
ギャップ分析およびリスク評価は、適正管理（正確性、安全性、預託管理）の観点から現状調査（要求事項とのギャップ分析、ビジネスリスク分析）を行い、実施した分析結果を、リスク分析表にまとめます。

4. 規程類の整備

ステップ3「ギャップ分析・リスク評価」におけるリスクアセスメントの結果をもとに、PMS関連文書として、規程、手順書等を作成します。
一般に、以下の事項に関連した規程の整備が求められます。

・ 個人情報を特定する手順に関すること
・ 法規制、国が定める指針、その他の規範の特定、参照及び維持に関すること
・リスクの認識、分析及び対策の手順に関すること
・ 権限及び責任に関すること
・ 緊急事態の準備及び対応に関すること
・ 個人情報の取得、利用、提供に関すること
・ 個人情報の適正管理に関すること
・ 本人からの開示の求めへの対応に関すること
・ 教育に関すること
・ 文書管理に関すること
・ 苦情及び相談への対応に関すること
・ 点検に関すること
・ 是正および予防処置に関すること
・ 代表者のPMS見直しに関すること
・ 内部規程への違反に関すること

5. 教育・啓蒙

推進事務局は、PMS教育計画を策定し、全社員に対し実施し、実施の記録をとります。この記録は、プライバシーマーク申請の際に、必ず必要となる資料です。

6. 実施運用

推進事務局は、PMS導入計画を立て、構築されたPMSを社内に導入します。社員は、構築されたPMSに沿って実運用を行うことになります。
実施にあたりその実施記録を残します。

7. 内部監査および代表者による見直し

■内部監査の実施
監査責任者は、導入後一定期間を経過した後、PMSが確実に構築され、機能しているかを内部監査によって確認し、不適合等があれば、是正処置を実施します。
必要であれば、予防処置も実施します。
内部監査の結果は、代表者の見直しのインプット情報として、事業の代表者に取りまとめて報告します。

■代表者による見直し
事業の代表者は、内部監査の結果報告またはその他の情報をもとに、現状のPMSが適切であるかを検討し、必要に応じて改善を指示します。

8. 取得申請

第三者機関へ審査の申請を行います。
記載内容及び申請資格の確認及び受理されると、審査が実施されることになります。

9. 審査受審

文書審査とともに、運用状況や現場での実施状況の確認といった現地調査が実施されます。これらの審査および調査をもとにプライバシーマークの使用許可の可否が決定されます。

10. プライバシーマーク付与

プライバシーマーク使用許諾契約書と使用許諾証が交付されます。マークの使用契約期間は2年間となっており、継続してマークを使用する際は、契約が切れる2年毎に再度審査を受けることになります。

1. 取扱事業者が保有する個人情報

取扱事業者が保有する個人情報には、例えば以下のようなものが存在します。

1.電子メールソフトに保管されているメールアドレス帳
2.ユーザーIDとユーザーが利用した取引についてのログ情報が保管されている電子ファイル
3.社員が、名刺の情報を業務用パソコンに入力し、他の社員等も検索できる状態である場合
4.人材派遣会社が登録カードを、五十音順に整理し、インデックスを付してファイルしている場合
5.氏名、住所、企業別に分類整理されている市販の人名録

2. 個人情報の体系化

個人情報をデータ化し、検索できるように体系化したり、自動処理（コンピュータ処理）できるようにすることにより、それらは個人データとなります。これは、6ヶ月以上保有すると訂正削除などのコントロール権がある保有個人データとなります。これらの個人データを5,000件以上持ち、事業に使用する組織を個人情報取扱事業者と呼びます。

3. 個人情報取扱事業者の義務

「第15条 利用目的をできる限り特定しなければならない」
「第16条 利用目的の達成に必要な範囲を超えて取り扱ってはならない」
「第17条 偽りその他不正の手段により取得してはならない」
「第18条 取得した時は利用目的を通知または公表しなければならない」
「第19条 正確かつ最新の内容に保つよう努めなければならない」
「第20条 安全管理のために必要な措置を講じなければならない」
「第21条 従業者に対し必要かつ適切な監督を行わなければならない」
「第22条 委託先に対し必要かつ適切な監督を行わなければならない」
「第23条 本人の同意を得ずに第三者に提供してはならない」
「第24条 利用目的等を本人の知りえる状態に置かなければならない」
「第25条 本人の求めに応じて保有個人データを開示しなければならない」
「第26条 本人の求めに応じて訂正等を行わなければならない」
「第27条 本人の求めに応じて利用停止等を行わなければならない」
「第31条 苦情の適切かつ迅速な措置に務めなければならない」

個人情報保護法の概略

個人情報保護法で定義される「個人情報」とは、「生存する個人に関する情報で特定の個人を識別することができるもの（第2条 第1項）」であり、「他の情報と容易に照合することができ、それにより特定の個人を特定することができるもの」も含まれます。また、それを取り扱う事業者とは、「『個人情報データベース等』を事業の用に供している者であり、『個人情報データベース等』とは容易に検索できるように体系的に構成したもの（第2条 第2項）」を指します。これらの事業者には、「『適切な取り扱い』の基準（第4章）」が義務付けられており、個人の権利利益が害せられた場合の是正措置、および罰則（第6章）が定められています。

個人情報保護法での罰則

個人情報を漏洩した場合、企業は各監督省庁への報告の義務があります。この報告を受け、主務大臣より是正処置を実施するよう勧告がなされます。企業は、この勧告に対して必ず是正報告を行い、処置を実施しなければなりません。これに従わなかった場合、罰則を受けることになります。

プライバシーマーク制度

プライバシーマーク制度では、体系的で全経営活動に統合されたマネジメントシステムであるコンプライアンス・プログラムを策定し、実施し、維持し、及び継続的に改善していくことを要求した規格（JIS Q 15001）への適合性を審査します。また、このJIS Q 15001だけではなく、個人情報保護法に対応した各省庁及びJIPDEC（日本情報処理開発協会）、各機関が発行しているガイドラインもその基準となります。

個人情報とは？

生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。

※「JIS Q 15001:2006　 2. 用語及び定義　 2.1 個人情報」　との関係個人情報保護マネジメントシステムでは、必ずしも個人情報保護法上の個人情報に限定されるものではない。対象情報としては、個人の生死に関係なく、とらえるべきものとされ、個人情報保護法よりも拡大してとらえることになる。
なお、個人情報保護法においても、故人の個人情報が遺族の個人情報として解されることもあり、またその利用目的との関係において、厳格に生死を管理しない場合もある。

※「JIS Q 15001:2006　 2. 用語及び定義　 2.2 本人」 との関係定義としては、2.1 個人情報で記述されている通り、死者が含まれるが、JIS Q 15001の各要求事項において用いられる「本人」とは、例えば同意や通知の相手として、生存者に限定された意味で使うものがほとんどである。なお、リスク認識などの要求（3.3.3）においては、死者の名誉などにも配慮すべきであり、その際は、死者を含む意味で解釈される。

個人情報データベースとは？

個人情報を含む情報の集合物であり、「(1)特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」、「(2)特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの」

個人データとは？

個人情報データベース等を構成する個人情報をいう。

保有個人データとは？

個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は1年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。

法律の中で管理される対象、取り扱い事業者の条件は、個人情報データベース等以下ですが、損害賠償の対象には個人情報が1件でも漏えいすれば当てはまります。

最近の判断では名刺フォルダーに入っていれば個人情報データベースになるという判断もあります。