>サイトトップへ >このカテゴリの一覧へ

Q 15001

:2006

(1)

目  次

ページ

1

  適用範囲

1

2

  用語及び定義

1

3

  要求事項

2

3.1

  一般要求事項

2

3.2

  個人情報保護方針

2

3.3

  計画

2

3.3.1

  個人情報の特定

2

3.3.2

  法令,国が定める指針その他の規範

2

3.3.3

  リスクなどの認識,分析及び対策

3

3.3.4

  資源,役割,責任及び権限

3

3.3.5

  内部規程

3

3.3.6

  計画書

3

3.3.7

  緊急事態への準備

4

3.4

  実施及び運用

4

3.4.1

  運用手順

4

3.4.2

  取得,利用及び提供に関する原則

4

3.4.2.1

  利用目的の特定

4

3.4.2.2

  適正な取得

4

3.4.2.3

  特定の機微な個人情報の取得,利用及び提供の制限

4

3.4.2.4

  本人から直接書面によって取得する場合の措置

4

3.4.2.5

  個人情報を 3.4.2.4 以外の方法によって取得した場合の措置

5

3.4.2.6

  利用に関する措置

5

3.4.2.7

  本人にアクセスする場合の措置

5

3.4.2.8

  提供に関する措置

6

3.4.3

  適正管理

7

3.4.3.1

  正確性の確保

7

3.4.3.2

  安全管理措置

7

3.4.3.3

  従業者の監督

7

3.4.3.4

  委託先の監督

7

3.4.4

  個人情報に関する本人の権利

7

3.4.4.1

  個人情報に関する権利

7

3.4.4.2

  開示等の求めに応じる手続

8

3.4.4.3

  開示対象個人情報に関する事項の周知など

8

3.4.4.4

  開示対象個人情報の利用目的の通知

9

3.4.4.5

  開示対象個人情報の開示

9


Q 15001

:2006  目次

(2)

ページ

3.4.4.6

  開示対象個人情報の訂正,追加又は削除

9

3.4.4.7

  開示対象個人情報の利用又は提供の拒否権

9

3.4.5

  教育

9

3.5

  個人情報保護マネジメントシステム文書

9

3.5.1

  文書の範囲

10

3.5.2

  文書管理

10

3.5.3

  記録の管理

10

3.6

  苦情及び相談への対応

10

3.7

  点検

10

3.7.1

  運用の確認

10

3.7.2

  監査

10

3.8

  是正処置及び予防処置

10

3.9

  事業者の代表者による見直し

11


Q 15001

:2006

(3)

まえがき

この規格は,工業標準化法に基づき,日本工業標準調査会の審議を経て,経済産業大臣が改正した日本

工業規格である。

これによって,JIS Q 15001:1999 は改正され,この規格に置き換えられた。

この規格は,著作権法で保護対象となっている著作物である。

この規格の一部が,技術的性質をもつ特許権,出願公開後の特許出願,実用新案権,又は出願公開後の

実用新案登録出願に抵触する可能性があることに注意を喚起する。経済産業大臣及び日本工業標準調査会

は,このような技術的性質をもつ特許権,出願公開後の特許出願,実用新案権,又は出願公開後の実用新

案登録出願にかかわる確認について,責任をもたない。


Q 15001

:2006  目次

(4)

白      紙


日本工業規格

JIS

 Q

15001

:2006

個人情報保護マネジメントシステム−要求事項

Personal information protection management systems

−Requirements

1

適用範囲

この規格は,個人情報を事業の用に供している,あらゆる種類,規模の事業者に適用できる個人情報保

護マネジメントシステムに関する要求事項について規定する。

事業者は,次の事項を行う場合に,この規格を用いることができる。

a)

個人情報保護マネジメントシステムを確立し,実施し,維持し,かつ,改善する。

b)

この規格と個人情報保護マネジメントシステムとの適合性について自ら確認し,適合していることを

自ら表明する。

c)

組織外部又は本人に,この規格に対する個人情報保護マネジメントシステムの適合性について確認を

求める。

d)

外部機関による個人情報保護マネジメントシステムの認証/登録を求める。

2

用語及び定義

この規格で用いる主な用語及び定義は,次による。

2.1

個人情報

個人に関する情報であって,当該情報に含まれる氏名,生年月日その他の記述などによって特定の個人

を識別できるもの(他の情報と容易に照合することができ,それによって特定の個人を識別することがで

きることとなるものを含む。

2.2

本人

個人情報によって識別される特定の個人。

2.3

事業者

事業を営む法人その他団体又は個人。

2.4

個人情報保護管理者

代表者によって事業者の内部の者から指名された者であって,個人情報保護マネジメントシステムの実

施及び運用に関する責任及び権限をもつ者。

2.5

個人情報保護監査責任者

代表者によって事業者の内部の者から指名された者であって,公平,かつ,客観的な立場にあり,監査


2

Q 15001

:2006

の実施及び報告を行う責任及び権限をもつ者。

2.6

本人の同意

本人が,個人情報の取扱いに関する情報を与えられた上で,自己に関する個人情報の取扱いについて承

諾する意思表示。本人が子ども又は事理を弁識する能力を欠く者の場合は,法定代理人等の同意も得なけ

ればならない。

2.7

個人情報保護マネジメントシステム

事業者が,自らの事業の用に供する個人情報について,その有用性に配慮しつつ,個人の権利利益を保

護するための方針,体制,計画,実施,点検及び見直しを含むマネジメントシステム。

2.8

不適合

本規格の要求を満たしていないこと。

3

要求事項

3.1

一般要求事項

事業者は,個人情報保護マネジメントシステムを確立し,実施し,維持し,かつ,改善しなければなら

ない。その要求事項は,箇条 で規定する。

3.2

個人情報保護方針

事業者の代表者は,個人情報保護の理念を明確にした上で,次の事項を含む個人情報保護方針を定める

とともに,これを実行し,かつ,維持しなければならない。

a)

事業の内容及び規模を考慮した適切な個人情報の取得,利用及び提供に関すること(特定された利用

目的の達成に必要な範囲を超えた個人情報の取扱い(以下,

“目的外利用”という。

)を行わないこと

及びそのための措置を講じることを含む。

b)

個人情報の取扱いに関する法令,国が定める指針その他の規範を遵守すること。

c)

個人情報の漏えい,滅失又はき損の防止及び是正に関すること。

d)

苦情及び相談への対応に関すること。

e)

個人情報保護マネジメントシステムの継続的改善に関すること。

f)

代表者の氏名

事業者の代表者は,この方針を文書(電子的方式,磁気的方式など人の知覚によっては認識できない方

式で作られる記録を含む。以下,同じ。

)化し,従業者に周知させるとともに,一般の人が入手可能な措置

を講じなければならない。

3.3

計画

3.3.1

個人情報の特定

事業者は,自らの事業の用に供するすべての個人情報を特定するための手順を確立し,かつ,維持しな

ければならない。

3.3.2

法令,国が定める指針その他の規範

事業者は,個人情報の取扱いに関する法令,国が定める指針その他の規範を特定し参照できる手順を確

立し,かつ,維持しなければならない。


3

Q 15001

:2006

3.3.3

リスクなどの認識,分析及び対策

事業者は,3.3.1 によって特定した個人情報について,目的外利用を行わないため,必要な対策を講じる

手順を確立し,かつ,維持しなければならない。

事業者は,3.3.1 によって特定した個人情報について,その取扱いの各局面におけるリスク(個人情報の

漏えい,滅失又はき損,関連する法令,国が定める指針その他の規範に対する違反,想定される経済的な

不利益及び社会的な信用の失墜,本人への影響などのおそれ)を認識し,分析し,必要な対策を講じる手

順を確立し,かつ,維持しなければならない。

3.3.4

資源,役割,責任及び権限

事業者の代表者は,個人情報保護マネジメントシステムを確立し,実施し,維持し,かつ,改善するた

めに不可欠な資源を用意しなければならない。

事業者の代表者は,個人情報保護マネジメントシステムを効果的に実施するために役割,責任及び権限

を定め,文書化し,かつ,従業者に周知しなければならない。

事業者の代表者は,この規格の内容を理解し実践する能力のある個人情報保護管理者を事業者の内部の

者から指名し,個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任にか

かわりなく与え,業務を行わせなければならない。

個人情報保護管理者は,個人情報保護マネジメントシステムの見直し及び改善の基礎として,事業者の

代表者に個人情報保護マネジメントシステムの運用状況を報告しなければならない。

3.3.5

内部規程

事業者は,次の事項を含む内部規程を文書化し,かつ,維持しなければならない。

a)

個人情報を特定する手順に関する規定

b)

法令,国が定める指針その他の規範の特定,参照及び維持に関する規定

c)

個人情報に関するリスクの認識,分析及び対策の手順に関する規定

d)

事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定

e)

緊急事態(個人情報が漏えい,滅失又はき損をした場合)への準備及び対応に関する規定

f)

個人情報の取得,利用及び提供に関する規定

g)

個人情報の適正管理に関する規定

h)

本人からの開示等の求めへの対応に関する規定

i)

教育に関する規定

j)

個人情報保護マネジメントシステム文書の管理に関する規定

k)

苦情及び相談への対応に関する規定

l)

点検に関する規定

m)

是正処置及び予防処置に関する規定

n)

代表者による見直しに関する規定

o)

内部規程の違反に関する罰則の規定

事業者は,事業の内容に応じて,個人情報保護マネジメントシステムが確実に適用されるように内部規

程を改定しなければならない。

3.3.6

計画書

事業者は,個人情報保護マネジメントシステムを確実に実施するために必要な教育,監査などの計画を

立案し,文書化し,かつ,維持しなければならない。


4

Q 15001

:2006

3.3.7

緊急事態への準備

事業者は,緊急事態を特定するための手順,また,それらにどのように対応するかの手順を確立し,実

施し,かつ,維持しなければならない。

事業者は,個人情報が漏えい,滅失又はき損をした場合に想定される経済的な不利益及び社会的な信用

の失墜,本人への影響などのおそれを考慮し,その影響を最小限とするための手順を確立し,かつ,維持

しなければならない。

また,個人情報の漏えい,滅失又はき損が発生した場合に備え,次の事項を含む対応手順を確立し,か

つ,維持しなければならない。

a)

当該漏えい,滅失又はき損が発生した個人情報の内容を本人に速やかに通知し,又は本人が容易に知

り得る状態に置くこと。

b)

二次被害の防止,類似事案の発生回避などの観点から,可能な限り事実関係,発生原因及び対応策を,

遅滞なく公表すること。

c)

事実関係,発生原因及び対応策を関係機関に直ちに報告すること。

3.4

実施及び運用

3.4.1

運用手順

事業者は,個人情報保護マネジメントシステムを確実に実施するために,運用の手順を明確にしなけれ

ばならない。

3.4.2

取得,利用及び提供に関する原則

3.4.2.1 

利用目的の特定

事業者は,個人情報を取得するに当たっては,その利用目的をできる限り特定し,その目的の達成に必

要な限度において行わなければならない。

3.4.2.2 

適正な取得 

事業者は,適法,かつ,公正な手段によって個人情報を取得しなければならない。

3.4.2.3 

特定の機微な個人情報の取得,利用及び提供の制限

事業者は,次に示す内容を含む個人情報の取得,利用又は提供は,行ってはならない。ただし,これら

の取得,利用又は提供について,明示的な本人の同意がある場合及び 3.4.2.6 のただし書き a)∼d)  のいず

れかに該当する場合は,この限りでない。

a)

思想,信条又は宗教に関する事項

b)

人種,民族,門地,本籍地(所在都道府県に関する情報を除く。

,身体・精神障害,犯罪歴その他社

会的差別の原因となる事項

c)

勤労者の団結権,団体交渉その他団体行動の行為に関する事項

d)

集団示威行為への参加,請願権の行使その他の政治的権利の行使に関する事項

e)

保健医療又は性生活に関する事項

3.4.2.4 

本人から直接書面によって取得する場合の措置

事業者は,本人から,書面(電子的方式,磁気的方式など人の知覚によっては認識できない方式で作ら

れる記録を含む。以下,同じ。

)に記載された個人情報を直接に取得する場合には,少なくとも,次に示す

事項又はそれと同等以上の内容の事項を,あらかじめ,書面によって本人に明示し,本人の同意を得なけ

ればならない。ただし,人の生命,身体又は財産の保護のために緊急に必要がある場合,3.4.2.5 のただし

書き a)∼d)  のいずれかに該当する場合,及び 3.4.2.6 のただし書き a)∼d)  のいずれかに該当する場合は,

この限りではない。


5

Q 15001

:2006

a)

事業者の氏名又は名称

b)

個人情報保護管理者(若しくはその代理人)の氏名又は職名,所属及び連絡先

c)

利用目的

d)

個人情報を第三者に提供することが予定される場合の事項

−  第三者に提供する目的

−  提供する個人情報の項目

−  提供の手段又は方法

−  当該情報の提供を受ける者又は提供を受ける者の組織の種類,及び属性

−  個人情報の取扱いに関する契約がある場合はその旨

e)

個人情報の取扱いの委託を行うことが予定される場合には,その旨

f)

3.4.4.4

3.4.4.7 に該当する場合には,その求めに応じる旨及び問合せ窓口

g)

本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果

h)

本人が容易に認識できない方法によって個人情報を取得する場合には,その旨

3.4.2.5 

個人情報を 3.4.2.4 以外の方法によって取得した場合の措置

事業者は,個人情報を 3.4.2.4 以外の方法によって取得した場合は,あらかじめその利用目的を公表して

いる場合を除き,速やかにその利用目的を,本人に通知し,又は公表しなければならない。ただし,次に

示すいずれかに該当する場合は,この限りではない。

a)

利用目的を本人に通知し,又は公表することによって本人又は第三者の生命,身体,財産その他の権

利利益を害するおそれがある場合

b)

利用目的を本人に通知し,又は公表することによって当該事業者の権利又は正当な利益を害するおそ

れがある場合

c)

国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であ

って,利用目的を本人に通知し,又は公表することによって当該事務の遂行に支障を及ぼすおそれが

あるとき

d)

取得の状況からみて利用目的が明らかであると認められる場合

3.4.2.6 

利用に関する措置

事業者は,特定した利用目的の達成に必要な範囲内で個人情報を利用しなければならない。

特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は,あらかじめ,少なくとも,

3.4.2.4

の a)∼f)  に示す事項又はそれと同等以上の内容の事項を本人に通知し,本人の同意を得なければな

らない。ただし,次に示すいずれかに該当する場合は,この限りではない。

a)

法令に基づく場合

b)

人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意を得ることが困難であ

るとき

c)

公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって,本人の同意を得

ることが困難であるとき

d)

国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して

協力する必要がある場合であって,本人の同意を得ることによって当該事務の遂行に支障を及ぼすお

それがあるとき

3.4.2.7 

本人にアクセスする場合の措置

事業者は,個人情報を利用して本人にアクセスする場合には,本人に対して,3.4.2.4 の a)∼f)  に示す事


6

Q 15001

:2006

項又はそれと同等以上の内容の事項,及び取得方法を通知し,本人の同意を得なければならない。ただし,

次に示すいずれかに該当する場合は,この限りではない。

a)  3.4.2.4

の a)∼f)  に示す事項又はそれと同等以上の内容の事項を明示又は通知し,既に本人の同意を得

ているとき

b)

個人情報の取扱いの全部又は一部を委託された場合であって,当該個人情報を,その利用目的の達成

に必要な範囲内で取り扱うとき

c)

合併その他の事由による事業の承継に伴って個人情報が提供され,個人情報を提供する事業者が,既

に 3.4.2.4 の a)∼f)  に示す事項又はそれと同等以上の内容の事項を明示又は通知し,本人の同意を得て

いる場合であって,承継前の利用目的の範囲内で当該個人情報を取り扱うとき

d)

個人情報が特定の者との間で共同して利用され,共同利用者が,既に 3.4.2.4 の a)∼f)  に示す事項又は

それと同等以上の内容の事項を明示又は通知し,本人の同意を得ている場合であって,次に示す事項

又はそれと同等以上の内容の事項を,あらかじめ,本人に通知し,又は本人が容易に知り得る状態に

置いているとき

−  共同して利用すること

−  共同して利用される個人情報の項目

−  共同して利用する者の範囲

−  共同して利用する者の利用目的

−  共同して利用する個人情報の管理について責任を有する者の氏名又は名称

−  取得方法

e)

3.4.2.5

のただし書き d)  に該当するため,利用目的などを本人に明示,通知又は公表することなく取

得した個人情報を利用して,本人にアクセスするとき

f)

3.4.2.6

のただし書き a)∼d)  のいずれかに該当する場合

3.4.2.8 

提供に関する措置

事業者は,個人情報を第三者に提供する場合には,あらかじめ,本人に対して,取得方法及び 3.4.2.4 

a)

d)  の事項又はそれと同等以上の内容の事項を通知し,本人の同意を得なければならない。ただし,

次に示すいずれかに該当する場合は,この限りではない。

a)  3.4.2.4

又は 3.4.2.7 の規定によって,既に 3.4.2.4 の a)  ∼d)  の事項又はそれと同等以上の内容の事項を

本人に明示又は通知し,本人の同意を得ているとき

b)

大量の個人情報を広く一般に提供するため,本人の同意を得ることが困難な場合であって,次に示す

事項又はそれと同等以上の内容の事項を,あらかじめ,本人に通知し,又はそれに代わる同等の措置

を講じているとき

−  第三者への提供を利用目的とすること

−  第三者に提供される個人情報の項目

−  第三者への提供の手段又は方法

−  本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止すること

−  取得方法

c)

法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であっ

て,かつ,法令に基づき又は本人若しくは当該法人その他の団体自らによって公開又は公表された情

報を提供する場合であって,b) で示す事項又はそれと同等以上の内容の事項を,あらかじめ,本人に

通知し,又は本人が容易に知り得る状態に置いているとき


7

Q 15001

:2006

d)

特定した利用目的の達成に必要な範囲内において,個人情報の取扱いの全部又は一部を委託するとき

e)

合併その他の事由による事業の承継に伴って個人情報を提供する場合であって,承継前の利用目的の

範囲内で当該個人情報を取り扱うとき

f)

個人情報を特定の者との間で共同して利用する場合であって,次に示す事項又はそれと同等以上の内

容の事項を,あらかじめ,本人に通知し,又は本人が容易に知り得る状態に置いているとき

−  共同して利用すること

−  共同して利用される個人情報の項目

−  共同して利用する者の範囲

−  共同して利用する者の利用目的

−  共同して利用する個人情報の管理について責任を有する者の氏名又は名称

−  取得方法

g)  3.4.2.6

のただし書き a)∼d)  のいずれかに該当する場合

3.4.3

適正管理

3.4.3.1 

正確性の確保

事業者は,利用目的の達成に必要な範囲内において,個人情報を,正確,かつ,最新の状態で管理しな

ければならない。

3.4.3.2 

安全管理措置

事業者は,その取り扱う個人情報のリスクに応じて,漏えい,滅失又はき損の防止その他の個人情報の

安全管理のために必要,かつ,適切な措置を講じなければならない。

3.4.3.3 

従業者の監督

事業者は,その従業者に個人情報を取り扱わせるに当たっては,当該個人情報の安全管理が図られるよ

う,当該従業者に対し必要,かつ,適切な監督を行わなければならない。

3.4.3.4 

委託先の監督

事業者は,個人情報の取扱いの全部又は一部を委託する場合は,十分な個人情報の保護水準を満たして

いる者を選定しなければならない。このため,事業者は,委託を受ける者を選定する基準を確立しなけれ

ばならない。

事業者は,個人情報の取扱いの全部又は一部を委託する場合は,委託する個人情報の安全管理が図られ

るよう,委託を受けた者に対する必要,かつ,適切な監督を行わなければならない。

事業者は,

次に示す事項を契約によって規定し,十分な個人情報の保護水準を担保しなければならない。

a)

委託者及び受託者の責任の明確化

b)

個人情報の安全管理に関する事項

c)

再委託に関する事項

d)

個人情報の取扱状況に関する委託者への報告の内容及び頻度

e)

契約内容が遵守されていることを委託者が確認できる事項

f)

契約内容が遵守されなかった場合の措置

g)

事件・事故が発生した場合の報告・連絡に関する事項

事業者は,当該契約書などの書面を少なくとも個人情報の保有期間にわたって保存しなければならない。

3.4.4

個人情報に関する本人の権利

3.4.4.1 

個人情報に関する権利


8

Q 15001

:2006

事業者は,電子計算機を用いて検索することができるように体系的に構成した情報の集合物又は一定の

規則に従って整理,分類し,目次,索引,符合などを付すことによって特定の個人情報を容易に検索でき

るように体系的に構成した情報の集合物を構成する個人情報であって,事業者が,本人から求められる開

示,内容の訂正,追加又は削除,利用の停止,消去及び第三者への提供の停止の求めのすべてに応じるこ

とができる権限を有するもの(以下,3.4.4 において“開示対象個人情報”という。

)に関して,本人から

利用目的の通知,開示,内容の訂正,追加又は削除,利用の停止,消去及び第三者への提供の停止(以下,

“開示等”という。

)を求められた場合は,3.4.4.4 ∼ 3.4.4.7 の規定によって,遅滞なくこれに応じなけれ

ばならない。ただし,次のいずれかに該当する場合は,開示対象個人情報ではない。

a)

当該個人情報の存否が明らかになることによって,本人又は第三者の生命,身体又は財産に危害が及

ぶおそれのあるもの

b)

当該個人情報の存否が明らかになることによって,違法又は不当な行為を助長し,又は誘発するおそ

れのあるもの

c)

当該個人情報の存否が明らかになることによって,国の安全が害されるおそれ,他国若しくは国際機

関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれのある

もの

d)

当該個人情報の存否が明らかになることによって,犯罪の予防,鎮圧又は捜査その他の公共の安全と

秩序維持に支障が及ぶおそれのあるもの

3.4.4.2 

開示等の求めに応じる手続

事業者は,開示等の求めに応じる手続として次の事項を定めなければならない。

a)

開示等の求めの申し出先

b)

開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式

c)

開示等の求めをする者が,本人又は代理人であることの確認の方法

d)  3.4.4.4

又は 3.4.4.5 による場合の手数料(定めた場合に限る。

)の徴収方法

事業者は,本人からの開示等の求めに応じる手続を定めるに当たっては,本人に過重な負担を課するも

のとならないよう配慮しなければならない。

事業者は,3.4.4.4 又は 3.4.4.5 によって本人からの求めに応じる場合に,手数料を徴収するときは,実費

を勘案して合理的であると認められる範囲内において,その額を定めなければならない。

3.4.4.3 

開示対象個人情報に関する事項の周知など

事業者は,取得した個人情報が開示対象個人情報に該当する場合は,当該開示対象個人情報に関し,次

の事項を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。

)に置かなければならな

い。

a)

事業者の氏名又は名称

b)

個人情報保護管理者(若しくはその代理人)の氏名又は職名,所属及び連絡先

c)

すべての開示対象個人情報の利用目的[3.4.2.5 の a)∼c) までに該当する場合を除く。

d)

開示対象個人情報の取扱いに関する苦情の申し出先

e)

当該事業者が個人情報の保護に関する法律(平成 15 年法律第 57 号)第 37 条第 1 項の認定を受けた者

(以下,

“認定個人情報保護団体”という。

)の対象事業者である場合にあっては,当該認定個人情報

保護団体の名称及び苦情の解決の申し出先

f)

3.4.4.2

によって定めた手続


9

Q 15001

:2006

3.4.4.4 

開示対象個人情報の利用目的の通知

事業者は,本人から,当該本人が識別される開示対象個人情報について,利用目的の通知を求められた

場合には,遅滞なくこれに応じなければならない。ただし,3.4.2.5 のただし書き a)∼c)  のいずれかに該当

する場合,又は 3.4.4.3 の c)  によって当該本人が識別される開示対象個人情報の利用目的が明らかな場合

は利用目的の通知を必要としないが,そのときは,本人に遅滞なくその旨を通知するとともに,理由を説

明しなければならない。

3.4.4.5 

開示対象個人情報の開示

事業者は,本人から,当該本人が識別される開示対象個人情報の開示(当該本人が識別される開示対象

個人情報が存在しないときにその旨を知らせることを含む。

)を求められたときは,法令の規定によって特

別の手続が定められている場合を除き,本人に対し,遅滞なく,当該開示対象個人情報を書面(開示の求

めを行った者が同意した方法があるときは,当該方法)によって開示しなければならない。ただし,開示

することによって次の a)∼c)  のいずれかに該当する場合は,その全部又は一部を開示する必要はないが,

そのときは,本人に遅滞なくその旨を通知するとともに,理由を説明しなければならない。

a)

本人又は第三者の生命,身体,財産その他の権利利益を害するおそれがある場合

b)

当該事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

c)

法令に違反することとなる場合

3.4.4.6 

開示対象個人情報の訂正,追加又は削除

事業者は,本人から,当該本人が識別される開示対象個人情報の内容が事実でないという理由によって

当該開示対象個人情報の訂正,追加又は削除(以下,この項において“訂正等”という。

)を求められた場

合は,法令の規定によって特別の手続が定められている場合を除き,利用目的の達成に必要な範囲内にお

いて,遅滞なく必要な調査を行い,その結果に基づいて,当該開示対象個人情報の訂正等を行わなければ

ならない。また,事業者は,訂正等を行ったときは,その旨及びその内容を,本人に対し,遅滞なく通知

し,訂正等を行わない旨の決定をしたときは,その旨及びその理由を,本人に対し,遅滞なく通知しなけ

ればならない。

3.4.4.7 

開示対象個人情報の利用又は提供の拒否権

事業者が,本人から当該本人が識別される開示対象個人情報の利用の停止,消去又は第三者への提供の

停止(以下,この項において“利用停止等”という。

)を求められた場合は,これに応じなければならない。

また,措置を講じた後は,遅滞なくその旨を本人に通知しなければならない。ただし,3.4.4.5 のただし書

き a)∼c)  のいずれかに該当する場合は,利用停止等を行う必要はないが,そのときは,本人に遅滞なくそ

の旨を通知するとともに,理由を説明しなければならない。

3.4.5

教育

事業者は,従業者に,定期的に適切な教育を行わなければならない。事業者は,従業者に,関連する各

部門及び階層における次の事項を理解させる手順を確立し,かつ,維持しなければならない。

a)

個人情報保護マネジメントシステムに適合することの重要性及び利点

b)

個人情報保護マネジメントシステムに適合するための役割及び責任

c)

個人情報保護マネジメントシステムに違反した際に予想される結果

事業者は,教育の計画及び実施,結果の報告及びそのレビュー,計画の見直し並びにこれらに伴う記録

の保持に関する責任及び権限を定める手順を確立し,実施し,かつ,維持しなければならない。

3.5

個人情報保護マネジメントシステム文書


10

Q 15001

:2006

3.5.1

文書の範囲

事業者は,次の個人情報保護マネジメントシステムの基本となる要素を書面で記述しなければならない。

a)

個人情報保護方針

b)

内部規程

c)

計画書

d)

この規格が要求する記録及び事業者が個人情報保護マネジメントシステムを実施する上で必要と判断

した記録

3.5.2

文書管理

事業者は,この規格が要求するすべての文書(記録を除く。

)を管理する手順を確立し,実施し,かつ,

維持しなければならない。

文書管理の手順には,次の事項が含まれなければならない。

a)

文書の発行及び改訂に関すること

b)

文書の改訂の内容と版数との関連付けを明確にすること

c)

必要な文書が必要なときに容易に参照できること

3.5.3

記録の管理

事業者は,個人情報保護マネジメントシステム及びこの規格の要求事項への適合を実証するために必要

な記録を作成し,かつ,維持しなければならない。

事業者は,記録の管理についての手順を確立し,実施し,かつ,維持しなければならない。

3.6

苦情及び相談への対応

事業者は,個人情報の取扱い及び個人情報保護マネジメントシステムに関して,本人からの苦情及び相

談を受け付けて,適切,かつ,迅速な対応を行う手順を確立し,かつ,維持しなければならない。

事業者は,上記の目的を達成するために必要な体制の整備を行わなければならない。

3.7

点検

3.7.1

運用の確認

事業者は,個人情報保護マネジメントシステムが適切に運用されていることが事業者の各部門及び階層

において定期的に確認されるための手順を確立し,実施し,かつ,維持しなければならない。

3.7.2

監査

事業者は,個人情報保護マネジメントシステムのこの規格への適合状況及び個人情報保護マネジメント

システムの運用状況を定期的に監査しなければならない。

事業者の代表者は,公平,かつ,客観的な立場にある個人情報保護監査責任者を事業者の内部の者から

指名し,監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与え,業務を行わせなければ

ならない。

個人情報保護監査責任者は,監査を指揮し,監査報告書を作成し,事業者の代表者に報告しなければな

らない。監査員の選定及び監査の実施においては,監査の客観性及び公平性を確保しなければならない。

事業者は,監査の計画及び実施,結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定め

る手順を確立し,実施し,かつ,維持しなければならない。

3.8

是正処置及び予防処置

事業者は,不適合に対する是正処置及び予防処置を確実に実施するための責任及び権限を定める手順を

確立し,実施し,かつ,維持しなければならない。その手順には,次の事項を含めなければならない。

a)

不適合の内容を確認する。


11

Q 15001

:2006

b)

不適合の原因を特定し,是正処置及び予防処置を立案する。

c)

期限を定め,立案された処置を実施する。

d)

実施された是正処置及び予防処置の結果を記録する。

e)

実施された是正処置及び予防処置の有効性をレビューする。

3.9

事業者の代表者による見直し

事業者の代表者は,個人情報の適切な保護を維持するために,定期的に個人情報保護マネジメントシス

テムを見直さなければならない。

事業者の代表者による見直しにおいては,次の事項を考慮しなければならない。

a)

監査及び個人情報保護マネジメントシステムの運用状況に関する報告

b)

苦情を含む外部からの意見

c)

前回までの見直しの結果に対するフォローアップ

d)

個人情報の取扱いに関する法令,国の定める指針その他の規範の改正状況

e)

社会情勢の変化,国民の認識の変化,技術の進歩などの諸環境の変化

f)

事業者の事業領域の変化

g)

内外から寄せられた改善のための提案