よくあるご質問

TOP > よくあるご質問 > 2.PMS構築・運用

2.PMS構築・運用

1 受託

1-1 構築・運用指針「J.8.3 要配慮個人情報」では、書面による本人の同意を得ることが求められていますが、当社の業務形態上(受託)、本人の同意が難しいのですが、どう対処すればよいですか。

構築・運用指針「J.8.3要配慮個人情報」のただし書きg)により、受託により要配慮個人情報を取得した場合については、その受託者は本人の同意を得る必要はありません。

2 教育

2-1 パート・アルバイトにも個人情報保護教育を実施し、教育後の試験では、基準以下は再試験ということで規定していますが、アンケート調査の委託調査員の場合、2週間程度の短期間の雇用になります。
このような短期雇用の方にも試験や再試験を実施しなくてはいけないのでしょうか。

教育は、従業者全員一律である必要はありません。
パート・アルバイトだからといって、一律に同じ試験や再試験も含めた教育を実施しなければならないものではありません。
しかし、従業者の方たちが、それぞれ担当する業務を実施するにあたり、必要かつ十分な教育を実施するようにしてください。

3  監査

3-1 構築・運用指針「J.6.2 内部監査」について 直接に個人情報の取扱いに従事しない部門であっても、監査の対象となりますか。

直接に個人情報の取扱いに従事しない部門であっても、従業者の情報、名刺の情報などに接する可能性はある以上、監査は必要です。

3-2 JIS Q 15001では、監査役も従業者という定義になっていますが、B.3.4.3.3(従業者の監督)では「監査役に対する監督を実施する場合には(中略)取締役などの業務執行者による監督は、内部監査の独立性が害されるため監督したことにならない。」となっています。
監査役に対する個人情報保護の適用範囲について教えてください。

教育も監査も対象となります。

ただし、監査役は取締役等業務執行者の指揮命令を受けないため強制することはできず、監査役が教育や監査を受けていなくても不適合ではありません。

3-3 プライバシーマーク付与事業者として監査を行っていますが、個人情報取扱部署は全て監査対象部門として取扱う主旨から、内部監査部門(内部監査室)に対して個人情報保護監査を実施することにしました。
以下のように監査を実施した場合に構築・運用指針で言う適正な監査が実施されたことになるか、教えてください。
1.監査担当者は内部監査室以外の社員が担当する。
2.任命は監査責任者が行う。但し、監査責任者は内部監査室長が兼務している。

問題ありません。

3-4 当社は全国に複数の部門・事業所があり、各拠点で取扱っている個人情報の項目や件数が異なる事業を展開しています。全部門を対象に年1回以上の監査を同一の内容で実施しようとすると、人手や時間が足りず、実施することが難しい状況です。この場合、どのように監査を実施したらよいでしょうか。(2020.07.22追加)

PDCAサイクルのC(Check)にあたる内部監査は、原則として全部門を対象に年1回以上実施することが求められています。
時間的な制約、監査要員の不足等によって全部門を同一の方法や内容で実施することが困難な場合は、 例えば、個人情報を大量に取り扱うサービスに関する監査は毎年業務の実施状況を実際の執務室へ出向いて実施するが、業務内容があまり変化しない業務の場合は、電話やテレビ会議などを使用してヒアリングによる監査を行い、実際の執務室に出向くことは数年に一度の頻度とするなど、個人情報を取り扱う業務やリスクの度合い等、総合的に判断し、全部門で十分な監査が実現できるよう実行可能な監査方法を検討いただき、年1回は全部門を対象に監査を実施してください。

4 個人情報保護管理者

4-1 申請の際に必要な「個人情報保護管理者」というのは、どのような資格が必要ですか。
資格が無くても、社内で定めた人物が、責任者として個人情報の保護と管理を担っていれば良いですか。

「個人情報保護管理者」は、JIS Q 15001の3.40の記載以外に要件はありません。
また、特定の資格が必要ということはありません。

5 個人情報保護監査責任者

5-1 代表者は、個人情報保護監査責任者になれますか。

事業者の代表者は、個人情報保護監査責任者は兼ねることはできません。個人情報保護管理者を兼ねることは可能です。
従業者の少ない小規模事業者にあっては、体制の確立が難しい場合がありますが、代表者は、経営資源の分配等を通じて、体制の整備・運用に主体的に関与するわけであり、監査についても代表者が行うとなると、監査の第三者性・客観性が担保されるかどうか疑問となり、監査に実効性があると評価できなくなります。
したがって、プライバシーマーク制度では、代表者が個人情報保護監査責任者を兼ねることを禁止しています。

 

6 個人情報の取扱い

6-1 A社とB社はそれぞれ独立した企業であるが、同一ビルの同一フロアーを共同で借りて事業を行っています。 両社の使える範囲を取り決めてはいるものの、間には仕切りがなく、会議室や作業台等はお互いに共有して使用していますが、どのような点を注意する必要がありますか。

一つのフロアーを共有することのリスクをどう評価し、どう対策を講じるかという問題になります。
事業者によって取扱う個人情報の内容も、業務内容や規模も異なりますので、講じ得る対策も異なります。
 

6-2 ストレスチェック制度により個人情報を取得する場合、どのような対応が必要ですか。

ストレスチェック制度に係る個人情報の取扱いについては、以下のページを参照してください。

ストレスチェック制度に関する参考情報

6-3 災害時において負傷した社員の個人情報を救急隊に提供してしまいましたが、問題はありませんか。

災害時の個人情報の取扱いについては、以下のページを参照してください。

災害時の個人情報の取扱い

7 その他

7-1 当社はプライバシーマークの付与事業者ですが、今後ISMSの認証取得を考えています。
そこで、二冊のマニュアルにすると管理が大変だと考え、一冊にまとめて統合のマニュアルにしようと考えていますが、審査で別々にするように指摘されますか。

別々にするよう指摘することはありません。
JIS Q 15001 「B.3.5.2 文書化した情報(記録を除く。)の管理」の項に、「文書化した情報(記録を除く。)は、組織によって実施される他のシステムの文書化した情報(記録を除く。)と統合してもよい。」と明記されていますので確認してください。

7-2 マイナンバー制度施行により事業者が対応しなければならないことは何ですか。

特定個人情報の取扱いの対応については、以下のページを参照してください。

マイナンバー対応について

ページトップへ戻る