Q 15001:2017
(1)
目 次
ページ
0 序文······························································································································· 1
0.1 概要 ···························································································································· 1
0.2 他のマネジメントシステム規格との近接性 ·········································································· 1
1 適用範囲 ························································································································· 1
2 引用規格 ························································································································· 2
3 用語及び定義 ··················································································································· 2
4 組織の状況 ······················································································································ 9
4.1 組織及びその状況の理解 ································································································· 9
4.2 利害関係者のニーズ及び期待の理解 ··················································································· 9
4.3 個人情報保護マネジメントシステムの適用範囲の決定 ··························································· 9
4.4 個人情報保護マネジメントシステム ··················································································· 9
5 リーダーシップ ················································································································ 9
5.1 リーダーシップ及びコミットメント ··················································································· 9
5.2 方針 ···························································································································· 9
5.3 組織の役割,責任及び権限······························································································ 10
6 計画······························································································································ 10
6.1 リスク及び機会に対処する活動························································································ 10
6.2 個人情報保護目的及びそれを達成するための計画策定 ·························································· 11
7 支援······························································································································ 12
7.1 資源 ··························································································································· 12
7.2 力量 ··························································································································· 12
7.3 認識 ··························································································································· 12
7.4 コミュニケーション ······································································································ 12
7.5 文書化した情報 ············································································································ 13
8 運用······························································································································ 13
8.1 運用の計画及び管理 ······································································································ 13
8.2 個人情報保護リスクアセスメント····················································································· 14
8.3 個人情報保護リスク対応 ································································································ 14
9 パフォーマンス評価 ········································································································· 14
9.1 監視,測定,分析及び評価······························································································ 14
9.2 内部監査 ····················································································································· 14
9.3 マネジメントレビュー ··································································································· 15
10 改善 ···························································································································· 15
10.1 不適合及び是正処置 ····································································································· 15
10.2 継続的改善 ················································································································· 16
Q 15001:2017 目次
(2)
ページ
附属書A(規定)管理目的及び管理策 ····················································································· 17
附属書B(参考)管理策に関する補足······················································································ 29
附属書C(参考)安全管理措置に関する管理目的及び管理策 ························································ 48
附属書D(参考)新旧対応表 ································································································· 60
参考文献 ···························································································································· 63
Q 15001:2017
(3)
まえがき
この規格は,工業標準化法に基づき,日本工業標準調査会の審議を経て,経済産業大臣が改正した日本
工業規格である。これによって,JIS Q 15001:2006は改正され,この規格に置き換えられた。
この規格は,著作権法で保護対象となっている著作物である。
この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意
を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実
用新案権に関わる確認について,責任はもたない。
日本工業規格 JIS
Q 15001:2017
個人情報保護マネジメントシステム−要求事項
Personal information protection management systems-Requirements
0
序文
この規格は,1999年に第1版が制定され,2006年に1回の改正が行われた(以下,旧規格という。)。そ
の後の個人情報の保護に関係する法律の改正に伴い,内容の整合性を図るために改正した日本工業規格で
ある。
なお,対応国際規格は現時点で制定されていない。また,この規格と旧規格との対応を附属書Dに示す。
0.1
概要
この規格は,個人情報保護マネジメントシステムを確立し,実施し,維持し,継続的に改善するための
要求事項を提供するために作成された。個人情報保護マネジメントシステムの採用は,組織の戦略的決定
である。組織の個人情報保護マネジメントシステムの確立及び実施は,その組織のニーズ及び目的,個人
情報保護の要求事項,組織が用いているプロセス,並びに組織の規模及び構造によって影響を受ける。影
響をもたらすこれらの要因全ては,時間とともに変化することが見込まれる。
個人情報保護マネジメントシステムは,リスクマネジメントプロセスを適用することによって個人情報
の保護を維持し,かつ,リスクを適切に管理しているという信頼を利害関係者に与える。
個人情報保護マネジメントシステムを,組織のプロセス及びマネジメント構造全体の一部とし,かつ,
その中に組み込むこと,並びにプロセス,情報システム及び管理策を設計する上で個人情報保護を考慮す
ることは,重要である。個人情報保護マネジメントシステムの導入は,その組織のニーズに合わせた規模
で行うことが期待される。
この規格は,組織自身の個人情報保護要求事項を満たす組織の能力を,組織の内部で評価するためにも,
また,外部関係者が評価するためにも用いることができる。
この規格で示す要求事項の順序は,重要性を反映するものでもなく,実施する順序を示すものでもない。
本文中の細別符号[例えば,a),b),又は1),2)]は,参照目的のためだけに付記されている。
0.2
他のマネジメントシステム規格との近接性
この規格は,ISO/IEC専門業務用指針 第1部 統合版ISO補足指針の附属書SLに規定する上位構造
(HLS),共通の細分箇条題名,共通テキスト並びに共通の用語及び中核となる定義を参考にしており,附
属書SLを採用した他のマネジメントシステム規格との近接性が保たれている。
附属書SLに規定するこの共通の取組みは,二つ以上のマネジメントシステムを運用する組織にとって
有用となる。
1
適用範囲
この規格は,組織が,自らの事業の用に供している個人情報に関する,個人情報保護マネジメントシス
テムを確立し,実施し,維持し,かつ,改善するための要求事項について規定する。この規格が規定する
2
Q 15001:2017
要求事項は,種類又は規模を問わず,全ての組織に適用できることを意図している。この組織は,個人情
報の保護に関する法律(平成15年法律第57号)(以下,個人情報保護法という。)に定める個人情報取扱
事業者を意味する。
注記 “事業の用に供している”の“事業”とは,一般社会通念上事業と認められるものをいい,営
利事業だけを対象とするものではない。このため,従業者の個人情報は,事業の用に供してい
る個人情報である。
2
引用規格
この規格が引用する規格はない。
3
用語及び定義
この規格で用いる主な用語及び定義は,個人情報保護法による。その他の主な用語及び定義は,次によ
る。
3.1
組織
責任及び権限をもつトップマネジメントが存在し,自らの目的(3.8)を達成するため,責任,権限及び
相互関係を伴う独自の機能をもつ,個人又は人々の集まり。
3.2
利害関係者
ある決定事項若しくは活動に影響を与え得るか,その影響を受け得るか,又はその影響を受けると認識
している,個人又は組織(3.1)。
(JIS Q 27000:2014の2.41参照)
3.3
要求事項
明示されている,通常暗黙のうちに了解されている又は義務として要求されている,ニーズ又は期待。
(JIS Q 27000:2014の2.63参照)
注記 “通常暗黙のうちに了解されている”とは,対象となるニーズ又は期待が暗黙のうちに了解さ
れていることが,組織及び利害関係者にとって,慣習又は慣行であることを意味する。
3.4
マネジメントシステム
方針(3.7),目的(3.8)及びその目的を達成するためのプロセス(3.12)を確立するための,相互に関
連する又は相互に作用する,組織(3.1)の一連の要素。
注記1 一つのマネジメントシステムは,単一又は複数の分野を取り扱うことができる。
注記2 マネジメントシステムの要素には,組織の構造,役割及び責任,計画,運用などが含まれる。
3.5
トップマネジメント
最高位で組織(3.1)を指揮し,管理する個人又は人々の集まり。
注記 トップマネジメントは,組織内で,権限を委譲し,資源を提供する力をもっている。
3.6
有効性
3
Q 15001:2017
計画した活動を実行し,計画した結果を達成した程度。
(JIS Q 27000:2014の2.24参照)
3.7
方針
トップマネジメント(3.5)によって正式に表明された組織(3.1)の意図及び方向付け。
(JIS Q 27000:2014の2.60参照)
3.8
目的
達成する結果。
注記1 目的は,戦略的,戦術的又は運用的であり得る。
注記2 目的は,様々な領域(例えば,財務,安全衛生,環境)の到達点に関連し得るものであり,
様々な階層[例えば,戦略的レベル,組織全体,プロジェクト単位,製品ごと,プロセス(3.12)
ごと]で適用できる。
注記3 目的は,例えば,予定された成果,意図,運用基準など,別の形で表現することもできる。
また,個人情報保護目的という表現の仕方もある。又は,同じような意味をもつ別の言葉(例
狙い,到達点,目標)で表すこともできる。
注記4 個人情報保護マネジメントシステムの場合,組織は,特定の結果を達成するため,内部向け
個人情報保護方針と整合のとれた個人情報保護目的を設定する。
3.9
リスク
目的に対する不確かさの影響。
注記1 影響とは,期待されていることから,好ましい方向又は好ましくない方向にかい(乖)離す
ることをいう。
注記2 不確かさとは,事象(3.28),その結果(3.24)又はその起こりやすさ(3.29)に関する,情
報,理解又は知識が,たとえ部分的にでも欠落している状態をいう。
注記3 リスクは,起こり得る事象(3.28),結果(3.24)又はこれらの組合せについて述べることに
よって,その特徴を記述することが多い。
注記4 リスクは,ある事象(周辺状況の変化を含む。)の結果とその発生の起こりやすさ(3.29)と
の組合せとして表現されることが多い。
3.10
力量
意図した結果を達成するために,知識及び技能を適用する能力。
(JIS Q 27000:2014の2.11参照)
3.11
文書化した情報
組織(3.1)によって,管理及び維持されるように要求されている情報,並びにそれが含まれている媒体。
(JIS Q 27000:2014の2.23参照)
注記1 文書化した情報は,あらゆる形式及び媒体の形をとることができ,あらゆる情報源から得る
ことができる。
注記2 文書化した情報には,次に示すものを参照することができる。
4
Q 15001:2017
− 関連するプロセス(3.12)を含むマネジメントシステム(3.4)
− 組織の運用のために作成された情報(文書類)
− 達成された結果の証拠(記録)
3.12
プロセス
インプットをアウトプットに変換する,相互に関連する又は相互に作用する一連の活動。
(JIS Q 27000:2014の2.61参照)
3.13
パフォーマンス
測定可能な結果。
(JIS Q 27000:2014の2.59参照)
注記1 パフォーマンスは,定量的又は定性的な所見のいずれにも関連し得る。
注記2 パフォーマンスは,活動,プロセス(3.12),製品(サービスを含む。),システム,又は組織
(3.1)の運営管理に関連し得る。
3.14
監視
システム,プロセス(3.12)又は活動の状況を明確にすること。
(JIS Q 27000:2014の2.52参照)
注記 状況を明確にするために,点検,監督,又は注意深い観察が必要な場合もある。
3.15
測定
値を決定するためのプロセス(3.12)。
3.16
監査
監査基準が満たされている程度を判定するために,監査証拠を収集し,それを客観的に評価するための,
体系的で,独立し,文書化したプロセス(3.12)。
(JIS Q 27000:2014の2.5参照)
注記1 監査は,内部監査(第一者)若しくは外部監査(第二者・第三者)のいずれでも,又は複合
監査(複数の分野の組合せ)であってもよい。
注記2 “監査証拠”及び“監査基準”は,JIS Q 19011に定義されている。
3.17
適合
要求事項(3.3)を満たしていること。
(JIS Q 27000:2014の2.13参照)
3.18
不適合
要求事項(3.3)を満たしていないこと。
(JIS Q 27000:2014の2.53参照)
3.19
是正処置
5
Q 15001:2017
不適合(3.18)の原因を除去し,再発を防止するための処置。
(JIS Q 27000:2014の2.19参照)
3.20
継続的改善
パフォーマンス(3.13)を向上するために繰り返し行われる活動。
(JIS Q 27000:2014の2.15参照)
3.21
分析モデル
一つ以上の基本測定量(3.23)及び/又は導出測定量(3.27)をそれに関連する判断基準と結合するアル
ゴリズム又は計算。
(JIS Q 27000:2014の2.2参照)
3.22
属性
人手又は自動的な手段によって,定量的又は定性的に識別できる対象物(3.33)の特性又は特徴。
(JIS Q 27000:2014の2.4参照)
3.23
基本測定量
単一の属性(3.22)とそれを定量化するための方法とで定義した測定量(3.30)。
(JIS Q 27000:2014の2.10参照)
注記 基本測定量は,他の測定量と機能的に独立した測定量をいう。
3.24
結果
目的(3.8)に影響を与える事象(3.28)の結末。
(JIS Q 27000:2014の2.14参照)
注記1 一つの事象が,様々な結果につながることがある。
注記2 結果は,確かなことも不確かなこともある。個人情報保護の文脈において,結果は,通常,
好ましくないものである。
注記3 結果は,定性的にも定量的にも表現されることがある。
注記4 初期の結果が,連鎖によって,段階的に増大することがある。
3.25
管理策
リスク(3.9)を修正する対策。
(JIS Q 27000:2014の2.16参照)
注記1 管理策には,リスクを修正するためのあらゆるプロセス,方針,仕掛け,実務,その他の処
置を含む。
注記2 管理策が,常に意図又は想定した修正効果を発揮するとは限らない。
3.26
判断基準
アクション若しくは追加調査の必要性を決めるため又は与えられた結果の信頼度のレベルを記述するた
めに使う,しきい(閾)値,目標又はパターン。
6
Q 15001:2017
(JIS Q 27000:2014の2.21参照)
3.27
導出測定量
複数の基本測定量(3.23)の値の関数として定義した測定量(3.30)。
(JIS Q 27000:2014の2.22参照)
3.28
事象
ある特有な状況の出現又は変化。
(JIS Q 27000:2014の2.25参照)
注記1 事象は,発生が一度以上であることがあり,幾つかの原因をもつことがある。
注記2 事象は,何かが起こらないことを含むことがある。
注記3 事象は,“インシデント”又は“事故”と呼ばれることがある。
3.29
起こりやすさ
何かが起こる見込み。
(JIS Q 27000:2014の2.45参照)
3.30
測定量
測定(3.15)の結果として値が割り当てられる変数。
(JIS Q 27000:2014の2.47参照)
注記 “測定量”という用語は,基本測定量,導出測定量及び指標をまとめて参照するために使うこ
とがある。
3.31
測定の関数
複数の基本測定量(3.23)を結合するために遂行するアルゴリズム又は計算。
(JIS Q 27000:2014の2.49参照)
3.32
測定方法
特定の尺度(3.34)に関して属性(3.22)を定量化するために使う一連の操作の論理的な順序を一般的に
記述したもの。
(JIS Q 27000:2014の2.50参照)
注記 測定方法の類型は,属性を定量化するために使う操作の性質による。これには,次の二つの類
型がある。
− 主観的 人間の判断を含んだ定量化
− 客観的 数値的な規則に基づいた定量化
3.33
対象物
属性(3.22)の測定(3.15)を通して特徴付けられるもの。
(JIS Q 27000:2014の2.55参照)
7
Q 15001:2017
3.34
尺度
連続的若しくは離散的な値の順序集合又は分類の集合で,それに属性(3.22)を対応付けるもの。
(JIS Q 27000:2014の2.80参照)
注記 尺度の類型は,尺度上の値同士の関係による。一般には次の4種類の尺度を定義する。
− 名義尺度 測定値は,分類した結果を示す。
− 順序尺度 測定値は,離散的な階級に分けた結果を示す。
− 間隔尺度 測定値は,属性の等しい量に対応して等しい距離を示す。
− 比尺度 測定値は,属性の等しい量に対応して等しい距離を示し,ゼロという値は,その
属性に対応するものが存在しないことを表す。
これらは,尺度の類型の例でしかない。
3.35
脅威
システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因。
(JIS Q 27000:2014の2.83参照)
3.36
ぜい弱性
一つ以上の脅威(3.35)によって付け込まれる可能性のある,資産又は管理策(3.25)の弱点。
(JIS Q 27000:2014の2.89参照)
3.37
残留リスク
リスク対応(3.38)後に残っているリスク(3.9)。
(JIS Q 27000:2014の2.64参照)
注記1 残留リスクには,特定されていないリスクが含まれ得る。
注記2 残留リスクは,“保有リスク”ともいう。
3.38
リスク対応
リスク(3.9)を修正するプロセス(3.12)。
(JIS Q 27000:2014の2.79参照)
注記1 リスク対応には,次の事項を含むことがある。
− リスクを生じさせる活動を,開始又は継続しないと決定することによって,リスクを回
避すること。
− ある機会を追求するために,リスクをとる又は増加させること。
− リスク源を除去すること。
− 起こりやすさを変えること。
− 結果を変えること。
− 一つ以上の他者とリスクを共有すること(契約及びリスクファイナンシングを含む。)。
− 情報に基づいた選択によって,リスクを保有すること。
注記2 好ましくない結果に対処するリスク対応は,“リスク軽減”,“リスク排除”,“リスク予防”及
び“リスク低減”と呼ばれることがある。
8
Q 15001:2017
注記3 リスク対応が,新たなリスクを生み出したり,又は既存のリスクを修正したりすることがあ
る。
3.39
本人
個人情報によって識別される特定の個人。
3.40
個人情報保護管理者
トップマネジメントによって組織内部に属する者の中から指名された者であって,個人情報保護マネジ
メントシステムの計画及び運用に関する責任及び権限をもつ者。
注記 “個人情報保護管理者”は,個人情報の取扱いに関する安全管理面だけではなく,組織全体の
マネジメントを含む全体の管理者である。
3.41
個人情報保護監査責任者
トップマネジメントによって組織内部に属する者の中から指名された者であって,公平かつ客観的な立
場にあり,監査の実施及び報告を行う責任及び権限をもつ者。
3.42
従業者
個人情報取扱事業者の組織内にあって直接間接に組織の指揮監督を受けて組織の業務に従事している者
などをいい,雇用関係にある従業員(正社員,契約社員,嘱託社員,パート社員,アルバイト社員など)
だけでなく,雇用関係にない従事者(取締役,執行役,理事,監査役,監事,派遣社員など)も含まれる。
3.43
個人情報保護リスク
個人情報の取扱いの各局面(個人情報の取得・入力,移送・送信,利用・加工,保管・バックアップ,
消去・廃棄に至る個人情報の取扱いの一連の流れ)における,個人情報の漏えい,滅失又はき損,関連す
る法令,国が定める指針その他の規範に対する違反,想定される経済的な不利益及び社会的な信用の失墜,
本人の権利利益の侵害など,好ましくない影響。
3.44
緊急事態
個人情報保護リスク(3.43)の脅威(3.35)が顕在化した状況。
3.45
個人情報保護
組織が,自らの事業の用に供する個人情報について,その有用性及び個人の権利利益に配慮しつつ,保
護すること。
3.46
リスク所有者
リスク(3.9)を運用管理することについて,アカウンタビリティ及び権限をもつ人又は主体。
(JIS Q 27000:2014の2.78参照)
9
Q 15001:2017
4
組織の状況
4.1
組織及びその状況の理解
組織は,組織の目的に関連し,かつ,その個人情報保護マネジメントシステムの意図した成果を達成す
る組織の能力に影響を与える,外部及び内部の課題を決定しなければならない。
4.2
利害関係者のニーズ及び期待の理解
組織は,次の事項を決定しなければならない。
a) 個人情報保護マネジメントシステムに関連する利害関係者
b) その利害関係者の,個人情報保護に関連する要求事項
注記 利害関係者の要求事項には,法的及び規制の要求事項並びに契約上の義務を含めてもよい。
4.3
個人情報保護マネジメントシステムの適用範囲の決定
組織は,個人情報保護マネジメントシステムの適用範囲を定めるために,その境界及び適用可能性を決
定しなければならない。
この適用範囲を決定するとき,組織は,次の事項を考慮しなければならない。
a) 4.1に規定する外部及び内部の課題
b) 4.2に規定する要求事項
c) 組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係
個人情報保護マネジメントシステムの適用範囲は,文書化した情報として利用可能な状態にしておかな
ければならない。
4.4
個人情報保護マネジメントシステム
組織は,この規格の要求事項に従って,個人情報保護マネジメントシステムを確立し,実施し,維持し,
かつ,継続的に改善しなければならない。
5
リーダーシップ
5.1
リーダーシップ及びコミットメント
トップマネジメントは,次に示す事項によって,個人情報保護マネジメントシステムに関するリーダー
シップ及びコミットメントを実証しなければならない。
a) 内部向け個人情報保護方針及び個人情報保護目的を確立し,それらが組織の戦略的な方向性と両立す
ることを確実にする。
b) 組織のプロセスへの個人情報保護マネジメントシステム要求事項の統合を確実にする。
c) 個人情報保護マネジメントシステムに必要な資源が利用可能であることを確実にする。
d) 有効な個人情報保護マネジメント及び個人情報保護マネジメントシステム要求事項への適合の重要性
を利害関係者に伝達する。
e) 個人情報保護マネジメントシステムがその意図した成果を達成することを確実にする。
f)
個人情報保護マネジメントシステムの有効性に寄与するよう人々を指揮し,支援する。
g) 継続的改善を促進する。
h) その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう,管理層の役割を
支援する。
5.2
方針
5.2.1
内部向け個人情報保護方針
トップマネジメントは,次の事項を満たす内部向け個人情報保護方針を確立しなければならない。
10
Q 15001:2017
a) 組織の目的に対して適切である。
b) 個人情報保護目的(6.2参照)を含むか,又は個人情報保護目的の設定のための枠組みを示す。
c) 個人情報保護に関連する適用される要求事項を満たすことへのコミットメントを含む。
d) 個人情報保護マネジメントシステムの継続的改善へのコミットメントを含む。
内部向け個人情報保護方針は,次に示す事項を満たさなければならない。
e) 文書化した情報として利用可能である。
f)
組織内に伝達する。
g) 必要に応じて,利害関係者が入手可能である。
5.2.2
外部向け個人情報保護方針
トップマネジメントは,次の事項を満たす外部向け個人情報保護方針を文書化し,一般の人が知り得る
ようにしなければならない。
a) 5.2.1で確立した内部向け個人情報保護方針に対して矛盾しない。
5.3
組織の役割,責任及び権限
トップマネジメントは,個人情報保護に関連する役割に対して,責任及び権限を割り当て,利害関係者
に伝達することを確実にしなければならない。
トップマネジメントは,次の事項に対して,責任及び権限を割り当てなければならない。
a) 個人情報保護マネジメントシステムが,この規格の要求事項に適合することを確実にする。
b) 個人情報保護マネジメントシステムのパフォーマンスをトップマネジメントに報告する。
注記 トップマネジメントは,個人情報保護マネジメントシステムのパフォーマンスを組織内に報告
する責任及び権限を割り当ててもよい。
6
計画
6.1
リスク及び機会に対処する活動
6.1.1
一般
個人情報保護マネジメントシステムの計画を策定するとき,組織は,4.1に規定する課題及び4.2に規定
する要求事項を考慮し,次の事項のために対処する必要があるリスク及び機会を決定しなければならない。
a) 個人情報保護マネジメントシステムが,その意図した成果を達成できることを確実にする。
b) 望ましくない影響を防止又は低減する。
c) 継続的改善を達成する。
組織は,次の事項を計画しなければならない。
d) 上記によって決定したリスク及び機会に対処する活動
e) 次の事項を行う方法
1) その活動の個人情報保護マネジメントシステムプロセスへの統合及び実施
2) その活動の有効性の評価
6.1.2
個人情報保護リスクアセスメント
組織は,次の事項を行う個人情報保護リスクアセスメントのプロセスを定め,適用しなければならない。
a) 次を含む個人情報保護のリスク基準を確立し,維持する。
1) リスク受容基準
11
Q 15001:2017
2) 個人情報保護リスクアセスメントを実施するための基準
b) 繰り返し実施した個人情報保護リスクアセスメントに,一貫性及び妥当性があり,かつ,比較可能な
結果を生み出すことを確実にする。
c) 次によって個人情報保護リスクを特定する。
1) 個人情報保護マネジメントシステムの適用範囲内における個人情報の不適切な取扱いに伴うリスク
を特定するために,個人情報保護リスクアセスメントのプロセスを適用する。
2) これらのリスク所有者を特定する。
d) 次によって個人情報保護リスクを分析する。
1) 6.1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行
う。
2) 6.1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。
3) リスクレベル(リスクの大きさ)を決定する。
e) 次によって個人情報保護リスクを評価する。
1) リスク分析の結果と6.1.2 a) で確立したリスク基準とを比較する。
2) リスク対応のために,分析したリスクの優先順位付けを行う。
組織は,個人情報保護リスクアセスメントのプロセスについての文書化した情報を保持しなければなら
ない。
6.1.3
個人情報保護リスク対応
組織は,次の事項を行うために,個人情報保護リスク対応のプロセスを定め,適用しなければならない。
a) リスクアセスメントの結果を考慮して,適切な個人情報保護リスク対応の選択肢を選定する。
b) 選定した個人情報保護リスク対応の選択肢の実施に必要な全ての管理策を決定する。
注記 組織は,必要な管理策を設計するか,又は任意の情報源の中から管理策を特定することがで
きる。
c) 6.1.3 b) で決定した管理策を附属書Aに示す管理策と比較し,必要な管理策が見落とされていないこ
とを検証する。
注記1 附属書Aは,管理目的及び管理策の包括的なリストである。この規格の利用者は,必要な
管理策の見落としがないことを確実にするために,附属書Aを参照する。
注記2 管理目的は,管理策に暗に含まれている。附属書Aに規定した管理目的及び管理策は,全
てを網羅してはいないため,追加の管理目的及び管理策が必要となる場合がある。
d) 個人情報保護リスク対応計画を策定する。
e) 個人情報保護リスク対応計画及び残留している個人情報保護リスクの受容について,リスク所有者の
承認を得る。
組織は,個人情報保護リスク対応のプロセスについての文書化した情報を保持しなければならない。
注記 この規格の個人情報保護リスクアセスメント及びリスク対応のプロセスは,JIS Q 31000に規定
する原則及び一般的な指針と整合している。
6.2
個人情報保護目的及びそれを達成するための計画策定
組織は,関連する部門及び階層において,個人情報保護目的を確立しなければならない。
個人情報保護目的は,次の事項を満たさなければならない。
a) 内部向け個人情報保護方針と整合している。
12
Q 15001:2017
b) (実行可能な場合)測定可能である。
c) 適用される個人情報保護要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。
d) 伝達する。
e) 必要に応じて,更新する。
組織は,個人情報保護目的に関する文書化した情報を保持しなければならない。
組織は,個人情報保護目的をどのように達成するかについて計画するとき,次の事項を決定しなければ
ならない。
f)
実施事項
g) 必要な資源
h) 責任者
i)
達成期限
j)
結果の評価方法
7
支援
7.1
資源
組織は,個人情報保護マネジメントシステムの確立,実施,維持及び継続的改善に必要な資源を決定し,
提供しなければならない。
7.2
力量
組織は,次の事項を行わなければならない。
a) 組織の個人情報保護パフォーマンスに影響を与える業務をその管理下で行う人々に必要な力量を決定
する。
b) 適切な教育,訓練又は経験に基づいて,それらの人々が力量を備えていることを確実にする。
c) 該当する場合には,必ず,必要な力量を身につけるための処置をとり,とった処置の有効性を評価す
る。
d) 力量の証拠として,適切な文書化した情報を保持する。
注記 適用される処置には,例えば,現在雇用している人々に対する,教育訓練の提供,指導の実施,
配置転換の実施などがあり,また,力量を備えた人々の雇用,そうした人々との契約締結など
もある。
7.3
認識
組織の管理下で働く人々は,次の事項に関して認識をもたなければならない。
a) 内部向け個人情報保護方針及び外部向け個人情報保護方針
b) 個人情報保護パフォーマンスの向上によって得られる便益を含む,個人情報保護マネジメントシステ
ムの有効性に対する自らの貢献
c) 個人情報保護マネジメントシステム要求事項に適合しないことの意味
7.4
コミュニケーション
組織は,次の事項を含め,個人情報保護マネジメントシステムに関連する内部及び外部のコミュニケー
ションを実施する必要性を決定しなければならない。
a) コミュニケーションの内容(何を伝達するか。)
b) コミュニケーションの実施時期
13
Q 15001:2017
c) コミュニケーションの対象者
d) コミュニケーションの実施者
e) コミュニケーションの実施プロセス
7.5
文書化した情報
7.5.1
一般
組織の個人情報保護マネジメントシステムは,次の事項を含まなければならない。
a) この規格が要求する文書化した情報
b) 個人情報保護マネジメントシステムの有効性のために必要であると組織が決定した,文書化した情報
注記 個人情報保護マネジメントシステムのための文書化した情報の程度は,次のような理由によ
って,それぞれの組織で異なる場合がある。
1) 組織の規模,並びに活動,プロセス,製品及びサービスの種類
2) プロセス及びその相互作用の複雑さ
3) 個々人の力量
7.5.2
作成及び更新
文書化した情報を作成及び更新する際,組織は,次の事項を確実にしなければならない。
a) 適切な識別及び記述(例えば,タイトル,日付,作成者,参照番号)
b) 適切な形式(例えば,言語,ソフトウェアの版,図表)及び媒体(例えば,紙,電子媒体)
c) 適切性及び妥当性に関する,適切なレビュー及び承認
7.5.3
文書化した情報の管理
個人情報保護マネジメントシステム及びこの規格で要求されている文書化した情報は,次の事項を確実
にするために,管理しなければならない。
a) 文書化した情報が,必要な時に,必要な所で,入手可能かつ利用に適した状態である。
b) 文書化した情報が十分に保護されている(例えば,機密性の喪失,不適切な使用及び完全性の喪失か
らの保護)。
文書化した情報の管理に当たって,組織は,該当する場合には,必ず,次の行動に取り組まなければな
らない。
c) 配付,アクセス,検索及び利用
d) 読みやすさが保たれることを含む,保管及び保存
e) 変更の管理(例えば,版の管理)
f)
保持及び廃棄
個人情報保護マネジメントシステムの計画及び運用のために組織が必要と決定した外部からの文書化し
た情報は,必要に応じて,特定し,管理しなければならない。
注記 アクセスとは,文書化した情報の閲覧だけの許可に関する決定,文書化した情報の閲覧及び変
更の許可及び権限に関する決定,などを意味する。
8
運用
8.1
運用の計画及び管理
組織は,個人情報保護要求事項を満たすため,及び6.1で決定した活動を実施するために必要なプロセ
スを計画し,実施し,かつ,管理しなければならない。また,組織は,6.2で決定した個人情報保護目的を
14
Q 15001:2017
達成するための計画を実施しなければならない。
組織は,プロセスが計画通りに実施されたという確信をもつために必要な程度の,文書化した情報を保
持しなければならない。
組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有
害な影響を軽減する処置をとらなければならない。
組織は,外部委託したプロセスが決定され,かつ,管理されていることを確実にしなければならない。
8.2
個人情報保護リスクアセスメント
組織は,あらかじめ定めた間隔で,又は重大な変更が提案されたか若しくは重大な変化が生じた場合に,
6.1.2 a) で確立した基準を考慮して,個人情報保護リスクアセスメントを実施しなければならない。
組織は,個人情報保護リスクアセスメント結果の文書化した情報を保持しなければならない。
8.3
個人情報保護リスク対応
組織は,個人情報保護リスク対応計画を実施しなければならない。
組織は,個人情報保護リスク対応結果の文書化した情報を保持しなければならない。
9
パフォーマンス評価
9.1
監視,測定,分析及び評価
組織は,個人情報保護パフォーマンス及び個人情報保護マネジメントシステムの有効性を評価しなけれ
ばならない。
組織は,次の事項を決定しなければならない。
a) 必要とされる監視及び測定の対象。これには,個人情報保護プロセス及び管理策を含む。
b) 該当する場合には,必ず,妥当な結果を確実にするための,監視,測定,分析及び評価の方法
注記 選定した方法は,妥当と考えられる,比較可能で再現可能な結果を生み出すことが望ましい。
c) 監視及び測定の実施時期
d) 監視及び測定の実施者
e) 監視及び測定の結果の,分析及び評価の時期
f)
監視及び測定の結果の,分析及び評価の実施者
組織は,監視及び測定の結果の証拠として,適切な文書化した情報を保持しなければならない。
9.2
内部監査
組織は,個人情報保護マネジメントシステムが次の状況にあるか否かに関する情報を提供するために,
あらかじめ定めた間隔で内部監査を実施しなければならない。
a) 次の事項に適合している。
1) 個人情報保護マネジメントシステムに関して,組織自体が規定した要求事項
2) この規格の要求事項
b) 有効に実施され,維持されている。
組織は,次に示す事項を行わなければならない。
c) 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確立,実施及
び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなけ
ればならない。
d) 各監査について,監査基準及び監査範囲を明確にする。
15
Q 15001:2017
e) 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。
f)
監査の結果を関連する管理層に報告することを確実にする。
g) 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。
9.3
マネジメントレビュー
トップマネジメントは,組織の個人情報保護マネジメントシステムが,引き続き,適切,妥当かつ有効
であることを確実にするために,あらかじめ定めた間隔で,個人情報保護マネジメントシステムをレビュ
ーしなければならない。
マネジメントレビューは,次の事項を考慮しなければならない。
a) 前回までのマネジメントレビューの結果,とった処置の状況
b) 個人情報保護マネジメントシステムに関連する外部及び内部の課題の変化
c) 次に示す傾向を含めた,個人情報保護パフォーマンスに関するフィードバック
1) 不適合及び是正処置
2) 監視及び測定の結果
3) 監査結果
4) 個人情報保護目的の達成
d) 利害関係者からのフィードバック
e) リスクアセスメントの結果及びリスク対応計画の状況
f)
継続的改善の機会
マネジメントレビューからのアウトプットには,継続的改善の機会,及び個人情報保護マネジメントシ
ステムのあらゆる変更の必要性に関する決定を含めなければならない。組織は,マネジメントレビューの
結果の証拠として,文書化した情報を保持しなければならない。
10
改善
10.1
不適合及び是正処置
不適合が発生した場合,組織は,次の事項を行わなければならない。
a) その不適合に対処し,該当する場合には,必ず,次の事項を行う。
1) その不適合を管理し,修正するための処置をとる。
2) その不適合によって起こった結果に対処する。
b) その不適合が再発しないように又は他のところで発生しないようにするため,次の事項によって,そ
の不適合の原因を除去するための処置をとる必要性を評価する。
1) その不適合をレビューする。
2) その不適合の原因を明確にする。
3) 類似の不適合の有無,又はそれが発生する可能性を明確にする。
c) 必要な処置を実施する。
d) とった全ての是正処置の有効性をレビューする。
e) 必要な場合には,個人情報保護マネジメントシステムの変更を行う。
是正処置は,検出された不適合のもつ影響に応じたものでなければならない。
組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。
f)
不適合の性質及びとった処置
g) 是正処置の結果
16
Q 15001:2017
10.2
継続的改善
組織は,個人情報保護マネジメントシステムの適切性,妥当性及び有効性を継続的に改善しなければな
らない。
17
Q 15001:2017
附属書A
(規定)
管理目的及び管理策
表A.1に規定した管理目的及び管理策は,旧規格(JIS Q 15001:2006)の箇条3に規定したものを継承し
つつ,この規格の改正に伴い追加及び変更を行ったものである。また,これらの管理目的及び管理策は,
この規格の6.1.3において用いる。
表A.1の細分箇条でアスタリスク(*)がある箇所は,附属書Bに補足説明を記載している。
旧規格の箇条番号を参照しやすくするために,A.1及びA.2を使わず,A.3から箇条番号を採番している。
表A.1−管理目的及び管理策
A.3 管理目的及び管理策
A.3.1 一般
目的 個人情報保護マネジメントシステムの運用を行うため。
A.3.1.1
一般*
この管理策に規定するA.3.2からA.3.8は,トップマネジメントによって権限
を与えられた者によって,組織が定めた手段に従って承認されなければならな
い。
A.3.2 個人情報保護方針*
目的 個人情報保護の理念を明確にし,公表するため。
A.3.2.1
内部向け個人情報
保護方針*
トップマネジメントは,5.2.1 e) に規定する内部向け個人情報保護方針を文書
化した情報には次の事項を含めなければならない。
a) 事業の内容及び規模を考慮した適切な個人情報の取得,利用及び提供に関
すること[特定された利用目的の達成に必要な範囲を超えた個人情報の取
扱い(以下,“目的外利用”という。)を行わないこと及びそのための措置
を講じることを含む。]。
b) 個人情報の取扱いに関する法令,国が定める指針その他の規範を遵守する
こと。
c) 個人情報の漏えい,滅失又はき損の防止及び是正に関すること。
d) 苦情及び相談への対応に関すること。
e) 個人情報保護マネジメントシステムの継続的改善に関すること。
f) トップマネジメントの氏名
トップマネジメントは,内部向け個人情報保護方針を文書化した情報を,組
織内に伝達し,必要に応じて,利害関係者が入手可能にするための措置を講じ
なければならない。
A.3.2.2
外部向け個人情報
保護方針*
トップマネジメントは,外部向け個人情報保護方針を文書化した情報には,
A.3.2.1に規定する内部向け個人情報保護方針の事項に加えて,次の事項も明記
しなければならない。
a) 制定年月日及び最終改正年月日
b) 外部向け個人情報保護方針の内容についての問合せ先
トップマネジメントは,外部向け個人情報保護方針を文書化した情報につい
て,一般の人が知り得るようにするための一般の人が入手可能な措置を講じな
ければならない。
18
Q 15001:2017
表A.1−管理目的及び管理策(続き)
A.3.3 計画
目的 個人情報の取扱いに関する計画を策定するため。
A.3.3.1
個人情報の特定*
組織は,自らの事業の用に供している全ての個人情報を特定するための手順
を確立し,かつ,維持しなければならない。
組織は,個人情報の項目,利用目的,保管場所,保管方法,アクセス権を有
する者,利用期限,保管期限などを記載した,個人情報を管理するための台帳
を整備するとともに,当該台帳の内容を少なくとも年一回,適宜に確認し,最
新の状態で維持されるようにしなければならない。
組織は,特定した個人情報については,個人データと同様に取り扱わなけれ
ばならない。
A.3.3.2
法令,国が定める指
針その他の規範*
組織は,個人情報の取扱いに関する法令,国が定める指針その他の規範(以
下,“法令等”という。)を特定し参照できる手順を確立し,かつ,維持しなけ
ればならない。
A.3.3.3
リスクアセスメン
ト及びリスク対策*
組織は,A.3.3.1によって特定した個人情報について,利用目的の達成に必要
な範囲を超えた利用を行わないため,必要な対策を講じる手順を確立し,かつ,
維持しなければならない。
組織は,A.3.3.1によって特定した個人情報の取扱いについて,個人情報保護
リスクを特定し,分析し,必要な対策を講じる手順を確立し,かつ,維持しな
ければならない。
組織は,現状で実施し得る対策を講じた上で,未対応部分を残留リスクとし
て把握し,管理しなければならない。
組織は,個人情報保護リスクの特定,分析及び講じた個人情報保護リスク対
策を少なくとも年一回,適宜に見直さなければならない。
A.3.3.4
資源,役割,責任及
び権限*
トップマネジメントは,少なくとも,次の責任及び権限を割り当てなければ
ならない。
a) 個人情報保護管理者
b) 個人情報保護監査責任者
トップマネジメントは,この規格の内容を理解し実践する能力のある個人情
報保護管理者を組織内部に属する者の中から指名し,個人情報保護マネジメン
トシステムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与
え,業務を行わせなければならない。
個人情報保護管理者は,個人情報保護マネジメントシステムの見直し及び改
善の基礎として,トップマネジメントに個人情報保護マネジメントシステムの
運用状況を報告しなければならない。
トップマネジメントは,公平,かつ,客観的な立場にある個人情報保護監査
責任者を組織内部に属する者の中から指名し,監査の実施及び報告を行う責任
及び権限を他の責任にかかわりなく与え,業務を行わせなければならない。
個人情報保護監査責任者は,監査を指揮し,監査報告書を作成し,トップマ
ネジメントに報告しなければならない。監査員の選定及び監査の実施において
は,監査の客観性及び公平性を確保しなければならない。
個人情報保護監査責任者と個人情報保護管理者とは異なる者でなければなら
ない。
19
Q 15001:2017
表A.1−管理目的及び管理策(続き)
A.3.3.5
内部規程*
組織は,次の事項を含む内部規程を文書化し,かつ,維持しなければならな
い。
a) 個人情報を特定する手順に関する規定
b) 法令,国が定める指針その他の規範の特定,参照及び維持に関する規定
c) 個人情報保護リスクアセスメント及びリスク対策の手順に関する規定
d) 組織の各部門及び階層における個人情報を保護するための権限及び責任に
関する規定
e) 緊急事態への準備及び対応に関する規定
f) 個人情報の取得,利用及び提供に関する規定
g) 個人情報の適正管理に関する規定
h) 本人からの開示等の請求等への対応に関する規定
i)
教育などに関する規定
j) 文書化した情報の管理に関する規定
k) 苦情及び相談への対応に関する規定
l)
点検に関する規定
m) 是正処置に関する規定
n) マネジメントレビューに関する規定
o) 内部規程の違反に関する罰則の規定
組織は,事業の内容に応じて,個人情報保護マネジメントシステムが確実に
適用されるように内部規程を改正しなければならない。
A.3.3.6
計画策定*
組織は,個人情報保護マネジメントシステムを確実に実施するために,少な
くとも年一回,次の事項を含めて,必要な計画を立案し,文書化し,かつ,維
持しなければならない。
a) A.3.4.5に規定する事項を踏まえた教育実施計画の立案及びその文書化
b) A.3.7.2に規定する事項を踏まえた内部監査実施計画及びその文書化
A.3.3.7
緊急事態への準備*
組織は,緊急事態を特定するための手順,及び,特定した緊急事態にどのよ
うに対応するかの手順を確立し,実施し,かつ,維持しなければならない。
組織は,個人情報保護リスクを考慮し,その影響を最小限とするための手順
を確立し,かつ,維持しなければならない。
また,組織は,緊急事態が発生した場合に備え,次の事項を含む対応手順を
確立し,かつ,維持しなければならない。
a) 漏えい,滅失又はき損が発生した個人情報の内容を本人に速やかに通知す
るか,又は本人が容易に知り得る状態に置くこと。
b) 二次被害の防止,類似事案の発生回避などの観点から,可能な限り事実関
係,発生原因及び対応策を,遅滞なく公表すること。
c) 事実関係,発生原因及び対応策を関係機関に直ちに報告すること。
A.3.4 実施及び運用
目的 運用段階において個人情報の取扱いを行うため。
A.3.4.1
運用手順
組織は,個人情報保護マネジメントシステムを確実に実施するために,運用
の手順を明確にしなければならない。
A.3.4.2 取得,利用及び提供に関する原則
A.3.4.2.1
利用目的の特定*
組織は,個人情報を取り扱うに当たっては,その利用目的をできる限り特定
し,その目的の達成に必要な範囲内において行わなければならない。
組織は,利用目的の特定に当たっては,取得した情報の利用及び提供によっ
て本人の受ける影響を予測できるように,利用及び提供の範囲を可能な限り具
体的に明らかにするよう配慮しなければならない。
A.3.4.2.2
適正な取得*
組織は,適法かつ公正な手段によって個人情報を取得しなければならない。
20
Q 15001:2017
表A.1−管理目的及び管理策(続き)
A.3.4.2.3
要配慮個人情報*
組織は,新たに要配慮個人情報を取得する場合,あらかじめ書面による本人
の同意を得ないで,要配慮個人情報を取得してはならない。ただし,次に掲げ
るいずれかに該当する場合には,書面による本人の同意を得ることを要しない。
a) 法令に基づく場合
b) 人の生命,身体又は財産の保護のために必要がある場合であって,本人の
同意を得ることが困難であるとき
c) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合
であって,本人の同意を得ることが困難であるとき
d) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事
務を遂行することに対して協力する必要がある場合であって,本人の同意
を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき
e) その他,個人情報取扱事業者の義務などの適用除外とされている者及び個
人情報保護委員会規則で定めた者によって公開された要配慮個人情報,又
は政令で定められた要配慮個人情報であるとき
組織は,要配慮個人情報の利用又は提供についても,前項と同様に実施しな
ければならない。さらに,要配慮個人情報のデータの提供についても,同様に
実施しなければならない。
A.3.4.2.4
個人情報を取得し
た場合の措置*
組織は,個人情報を取得した場合は,あらかじめ,その利用目的を公表して
いる場合を除き,速やかに,その利用目的を,本人に通知するか,又は公表し
なければならない。ただし,次に掲げるいずれかに該当する場合には,本人へ
の利用目的の通知又は公表は要しない。
a) 利用目的を本人に通知するか,又は公表することによって本人又は第三者
の生命,身体,財産その他の権利利益を害するおそれがある場合
b) 利用目的を本人に通知するか,又は公表することによって当該組織の権利
又は正当な利益を害するおそれがある場合
c) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協
力する必要がある場合であって,利用目的を本人に通知するか,又は公表
することによって当該事務の遂行に支障を及ぼすおそれがある場合
d) 取得の状況からみて利用目的が明らかであると認められる場合
21
Q 15001:2017
表A.1−管理目的及び管理策(続き)
A.3.4.2.5
A.3.4.2.4のうち本人
から直接書面によ
って取得する場合
の措置*
組織は,A.3.4.2.4の措置を講じた場合において,本人から,書面(電子的方
式,磁気的方式など人の知覚によっては認識できない方式で作られる記録を含
む。以下,同じ。)に記載された個人情報を直接取得する場合には,少なくとも,
次に示す事項又はそれと同等以上の内容の事項を,あらかじめ,書面によって
本人に明示し,書面によって本人の同意を得なければならない。
a) 組織の名称又は氏名
b) 個人情報保護管理者(若しくはその代理人)の氏名又は職名,所属及び連
絡先
c) 利用目的
d) 個人情報を第三者に提供することが予定される場合の事項
− 第三者に提供する目的
− 提供する個人情報の項目
− 提供の手段又は方法
− 当該情報の提供を受ける者又は提供を受ける者の組織の種類,及び属
性
− 個人情報の取扱いに関する契約がある場合はその旨
e) 個人情報の取扱いの委託を行うことが予定される場合には,その旨
f) A.3.4.4.4〜A.3.4.4.7に該当する場合には,その請求等に応じる旨及び問合せ
窓口
g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に
本人に生じる結果
h) 本人が容易に知覚できない方法によって個人情報を取得する場合には,そ
の旨
ただし,人の生命,身体若しくは財産の保護のために緊急に必要がある場合,
又はただし書きA.3.4.2.4のa)〜d) のいずれかに該当する場合は,本人に明示
し,本人の同意を得ることを要しない。
A.3.4.2.6
利用に関する措置*
組織は,特定した利用目的の達成に必要な範囲内で個人情報を利用しなけれ
ばならない。
特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は,
あらかじめ,少なくとも,A.3.4.2.5のa)〜f) に示す事項又はそれと同等以上の
内容の事項を本人に通知し,本人の同意を得なければならない。ただし,
A.3.4.2.4のa)〜d) のいずれかに該当する場合には,本人の同意を得ることを要
しない。
22
Q 15001:2017
表A.1−管理目的及び管理策(続き)
A.3.4.2.7
本人に連絡又は接
触する場合の措置*
組織は,個人情報を利用して本人に連絡又は接触する場合には,本人に対し
て,A.3.4.2.5のa)〜f) に示す事項又はそれと同等以上の内容の事項,及び取得
方法を通知し,本人の同意を得なければならない。ただし,次に掲げるいずれ
かに該当する場合は,本人に通知し,本人の同意を得ることを要しない。
a) A.3.4.2.5のa)〜f) に示す事項又はそれと同等以上の内容の事項を明示又は
通知し,既に本人の同意を得ているとき
b) 個人情報の取扱いの全部又は一部を委託された場合であって,当該個人情
報を,その利用目的の達成に必要な範囲内で取り扱うとき
c) 合併その他の事由による事業の承継に伴って個人情報が提供され,個人情
報を提供する組織が,既にA.3.4.2.5のa)〜f) に示す事項又はそれと同等以
上の内容の事項を明示又は通知し,本人の同意を得ている場合であって,
承継前の利用目的の範囲内で当該個人情報を取り扱うとき
d) 個人情報が特定の者との間で共同して利用され,共同して利用する者が,
既にA.3.4.2.5のa)〜f) に示す事項又はそれと同等以上の内容の事項を明示
又は通知し,本人の同意を得ている場合であって,次に示す事項又はそれ
と同等以上の内容の事項を,あらかじめ,本人に通知するか,又は本人が
容易に知り得る状態に置いているとき(以下,“共同利用”という。)
− 共同して利用すること
− 共同して利用される個人情報の項目
− 共同して利用する者の範囲
− 共同して利用する者の利用目的
− 共同して利用する個人情報の管理について責任を有する者の氏名又は
名称
− 取得方法
e) A.3.4.2.4のd) に該当するため,利用目的などを本人に明示,通知又は公表
することなく取得した個人情報を利用して,本人に連絡又は接触するとき
f) A.3.4.2.3のただし書きa)〜d) のいずれかに該当する場合
23
Q 15001:2017
表A.1−管理目的及び管理策(続き)
A.3.4.2.8
個人データの提供
に関する措置*
組織は,個人データを第三者に提供する場合には,あらかじめ,本人に対し
て,A.3.4.2.5のa)〜d) に示す事項又はそれと同等以上の内容の事項,及び取得
方法を通知し,本人の同意を得なければならない。ただし,次に掲げるいずれ
かに該当する場合は,本人に通知し,本人の同意を得ることを要しない。
a) A.3.4.2.5又はA.3.4.2.7の規定によって,既にA.3.4.2.5のa)〜d) の事項又
はそれと同等以上の内容の事項を本人に明示又は通知し,本人の同意を得
ているとき
b) 本人の同意を得ることが困難な場合であって,法令等が定める手続に基づ
いた上で,次に示す事項又はそれと同等以上の内容の事項を,あらかじめ,
本人に通知するか,又はそれに代わる同等の措置を講じているとき
1) 第三者への提供を利用目的とすること
2) 第三者に提供される個人データの項目
3) 第三者への提供の手段又は方法
4) 本人の請求などに応じて当該本人が識別される個人データの第三者への
提供を停止すること
5) 取得方法
6) 本人からの請求などを受け付ける方法
c) 法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及
び株主に関する情報であって,かつ,本人又は当該法人その他の団体自ら
によって公開又は公表された情報を提供する場合であって,b) の1)〜6) で
示す事項又はそれと同等以上の内容の事項を,あらかじめ,本人に通知す
るか,又は本人が容易に知り得る状態に置いているとき
d) 特定した利用目的の達成に必要な範囲内において,個人データの取扱いの
全部又は一部を委託するとき
e) 合併その他の事由による事業の承継に伴って個人データを提供する場合で
あって,承継前の利用目的の範囲内で当該個人データを取り扱うとき
f) 個人データを共同利用している場合であって,共同して利用する者の間で,
A.3.4.2.7に規定する共同利用について契約によって定めているとき
g) A.3.4.2.3のただし書きa)〜d) のいずれかに該当する場合
A.3.4.2.8.1
外国にある第三者
への提供の制限*
組織は,法令等の定めに基づき,外国にある第三者に個人データを提供する
場合には,あらかじめ外国にある第三者への提供を認める旨の本人の同意を得
なければならない。ただし,A.3.4.2.3のa)〜d) のいずれかに該当する場合及び
その他法令等によって除外事項が適用される場合には,本人の同意を得ること
を要しない。
A.3.4.2.8.2
第三者提供に係る
記録の作成など*
組織は,個人データを第三者に提供したときは,法令等の定めるところによ
って記録を作成し,保管しなければならない。ただし,A.3.4.2.3のa)〜d) のい
ずれかに該当する場合,又は次に掲げるいずれかに該当する場合は,記録の作
成を要しない。
a) 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データ
の取扱いの全部又は一部を委託することに伴って当該個人データが提供さ
れる場合
b) 合併その他の事由による事業の承継に伴って個人データが提供される場合
c) 特定の者との間で共同して利用される個人データが当該特定の者に提供さ
れる場合であって,その旨並びに共同して利用される個人データの項目,
共同して利用する者の範囲,利用する者の利用目的及び当該個人データの
管理について責任を有する者の氏名又は名称について,あらかじめ,本人
に通知するか,又は本人が容易に知り得る状態に置いているとき。
24
Q 15001:2017
表A.1−管理目的及び管理策(続き)
A.3.4.2.8.3
第三者提供を受け
る際の確認など*
組織は,第三者から個人データの提供を受けるに際しては,法令等の定める
ところによって確認を行わなければならない。ただし,A.3.4.2.3のa)〜d) のい
ずれかに該当する場合,又はA.3.4.2.8.2のa)〜c) のいずれかに該当する場合は,
確認を要しない。
組織は,法令等の定めるところによって確認の記録を作成,保管しなければ
ならない。
A.3.4.2.9
匿名加工情報*
組織は,匿名加工情報の取扱いを行うか否かの方針を定めなければならない。
組織は,匿名加工情報を取り扱う場合には,本人の権利利益に配慮し,かつ,
法令等の定めるところによって適切な取扱いを行う手順を確立し,かつ,維持
しなければならない。
A.3.4.3 適正管理
A.3.4.3.1
正確性の確保*
組織は,利用目的の達成に必要な範囲内において,個人データを,正確,か
つ,最新の状態で管理しなければならない。
組織は,個人データを利用する必要がなくなったときは,当該個人データを
遅滞なく消去するよう努めなければならない。
A.3.4.3.2
安全管理措置*
組織は,その取り扱う個人情報の個人情報保護リスクに応じて,漏えい,滅
失又はき損の防止その他の個人情報の安全管理のために必要かつ適切な措置を
講じなければならない。
安全管理措置に関する管理目的及び管理策は,附属書Cを参照。
A.3.4.3.3
従業者の監督*
組織は,その従業者に個人データを取り扱わせるに当たっては,当該個人デ
ータの安全管理が図られるよう,当該従業者に対する必要かつ適切な監督を行
わなければならない。
A.3.4.3.4
委託先の監督*
組織は,個人データの取扱いの全部又は一部を委託する場合,特定した利用
目的の範囲内で委託契約を締結しなければならない。
組織は,個人データの取扱いの全部又は一部を委託する場合は,十分な個人
データの保護水準を満たしている者を選定しなければならない。このため,組
織は,委託を受ける者を選定する基準を確立しなければならない。委託を受け
る者を選定する基準には,少なくとも委託する当該業務に関しては,自社と同
等以上の個人情報保護の水準にあることを客観的に確認できることを含めなけ
ればならない。
組織は,個人データの取扱いの全部又は一部を委託する場合は,委託する個
人データの安全管理が図られるよう,委託を受けた者に対する必要かつ適切な
監督を行わなければならない。
組織は,次に示す事項を契約によって規定し,十分な個人データの保護水準
を担保しなければならない。
a) 委託者及び受託者の責任の明確化
b) 個人データの安全管理に関する事項
c) 再委託に関する事項
d) 個人データの取扱状況に関する委託者への報告の内容及び頻度
e) 契約内容が遵守されていることを委託者が,定期的に,及び適宜に確認で
きる事項
f) 契約内容が遵守されなかった場合の措置
g) 事件・事故が発生した場合の報告・連絡に関する事項
h) 契約終了後の措置
組織は,当該契約書などの書面を少なくとも個人データの保有期間にわたっ
て保存しなければならない。
25
Q 15001:2017
表A.1−管理目的及び管理策(続き)
A.3.4.4 個人情報に関する本人の権利
A.3.4.4.1
個人情報に関する
権利*
組織は,保有個人データに関して,本人から開示等の請求等を受け付けた場
合は,A.3.4.4.4〜A.3.4.4.7の規定によって,遅滞なくこれに応じなければなら
ない。ただし,次に掲げるいずれかに該当する場合は,保有個人データには当
たらない。
a) 当該個人データの存否が明らかになることによって,本人又は第三者の生
命,身体又は財産に危害が及ぶおそれのあるもの
b) 当該個人データの存否が明らかになることによって,違法又は不当な行為
を助長する,又は誘発するおそれのあるもの
c) 当該個人データの存否が明らかになることによって,国の安全が害される
おそれ,他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国
若しくは国際機関との交渉上不利益を被るおそれのあるもの
d) 当該個人データの存否が明らかになることによって,犯罪の予防,鎮圧又
は捜査その他の公共の安全及び秩序維持に支障が及ぶおそれのあるもの
組織は,保有個人データに該当しないが,本人から求められる利用目的の通
知,開示,内容の訂正,追加又は削除,利用の停止,消去及び第三者への提供
の停止の請求などの全てに応じることができる権限を有する個人情報について
も,保有個人データと同様に取り扱わなければならない。
A.3.4.4.2
開示等の請求等に
応じる手続*
組織は,開示等の請求等に応じる手続として次の事項を定めなければならな
い。
a) 開示等の請求等の申出先
b) 開示等の請求等に際して提出すべき書面の様式その他の開示等の請求等の
方式
c) 開示等の請求等をする者が,本人又は代理人であることの確認の方法
d) A.3.4.4.4又はA.3.4.4.5による場合の手数料(定めた場合に限る。)の徴収方
法
組織は,本人からの開示等の請求等に応じる手続を定めるに当たっては,本
人に過重な負担を課するものとならないよう配慮しなければならない。
組織は,A.3.4.4.4又はA.3.4.4.5によって本人からの請求などに応じる場合に,
手数料を徴収するときは,実費を勘案して合理的であると認められる範囲内に
おいて,その額を定めなければならない。
A.3.4.4.3
保有個人データに
関する事項の周知
など*
組織は,当該保有個人データに関し,次の事項を本人の知り得る状態(本人
の請求などに応じて遅滞なく回答する場合を含む。)に置かなければならない。
a) 組織の氏名又は名称
b) 個人情報保護管理者(若しくはその代理人)の氏名又は職名,所属及び連
絡先
c) 全ての保有個人データの利用目的[A.3.4.2.4のa)〜c) までに該当する場合
を除く。]
d) 保有個人データの取扱いに関する苦情の申出先
e) 当該組織が認定個人情報保護団体の対象事業者である場合にあっては,当
該認定個人情報保護団体の名称及び苦情の解決の申出先
f) A.3.4.4.2によって定めた手続
A.3.4.4.4
保有個人データの
利用目的の通知
組織は,本人から,当該本人が識別される保有個人データについて,利用目
的の通知を求められた場合には,遅滞なくこれに応じなければならない。ただ
し,A.3.4.2.4のただし書きa)〜c) のいずれかに該当する場合,又はA.3.4.4.3
のc) によって当該本人が識別される保有個人データの利用目的が明らかな場
合は利用目的の通知を必要としないが,そのときは,本人に遅滞なくその旨を
通知するとともに,理由を説明しなければならない。
26
Q 15001:2017
表A.1−管理目的及び管理策(続き)
A.3.4.4.5
保有個人データの
開示*
組織は,本人から,当該本人が識別される保有個人データの開示(当該本人
が識別される保有個人データが存在しないときにその旨を知らせることを含
む。)の請求を受けたときは,法令の規定によって特別の手続が定められている
場合を除き,本人に対し,遅滞なく,当該保有個人データを書面(開示の請求
を行った者が同意した方法があるときは,当該方法)によって開示しなければ
ならない。ただし,開示することによって次のa)〜c) のいずれかに該当する場
合は,その全部又は一部を開示する必要はないが,そのときは,本人に遅滞な
くその旨を通知するとともに,理由を説明しなければならない。
a) 本人又は第三者の生命,身体,財産その他の権利利益を害するおそれがあ
る場合
b) 当該組織の業務の適正な実施に著しい支障を及ぼすおそれがある場合
c) 法令に違反する場合
A.3.4.4.6
保有個人データの
訂正,追加又は削除
組織は,本人から,当該本人が識別される保有個人データの内容が事実でな
いという理由によって当該保有個人データの訂正,追加又は削除(以下,この
項において“訂正等”という。)の請求を受けた場合は,法令の規定によって特
別の手続が定められている場合を除き,利用目的の達成に必要な範囲内におい
て,遅滞なく必要な調査を行い,その結果に基づいて,当該保有個人データの
訂正等を行わなければならない。また,組織は,訂正等を行ったときは,その
旨及びその内容を,本人に対し,遅滞なく通知し,訂正等を行わない旨の決定
をしたときは,その旨及びその理由を,本人に対し,遅滞なく通知しなければ
ならない。
A.3.4.4.7
保有個人データの
利用又は提供の拒
否権*
組織が,本人から当該本人が識別される保有個人データの利用の停止,消去
又は第三者への提供の停止(以下,この項において“利用停止等”という。)の
請求を受けた場合は,これに応じなければならない。また,措置を講じた後は,
遅滞なくその旨を本人に通知しなければならない。ただし,A.3.4.4.5のただし
書きa)〜c) のいずれかに該当する場合は,利用停止等を行う必要はないが,そ
のときは,本人に遅滞なくその旨を通知するとともに,理由を説明しなければ
ならない。
A.3.4.5
認識*
組織は,従業者が7.3に規定する認識をもつために,関連する各部門及び階
層における次の事項を認識させる手順を確立し,かつ,維持しなければならな
い。
a) 個人情報保護方針(内部向け個人情報保護方針及び外部向け個人情報保護
方針)
b) 個人情報保護マネジメントシステムに適合することの重要性及び利点
c) 個人情報保護マネジメントシステムに適合するための役割及び責任
d) 個人情報保護マネジメントシステムに違反した際に予想される結果
組織は,認識させる手順に,全ての従業者に対する教育を少なくとも年一回,
適宜に行うことを含めなければならない。
A.3.5 文書化した情報
目的 文書化した情報を作成・維持するため。
A.3.5.1
文書化した情報の
範囲
組織は,次の個人情報保護マネジメントシステムの基本となる要素を書面で
記述しなければならない。
a) 内部向け個人情報保護方針
b) 外部向け個人情報保護方針
c) 内部規程
d) 内部規程に定める手順上で使用する様式
e) 計画書
f) この規格が要求する記録及び組織が個人情報保護マネジメントシステムを
実施する上で必要と判断した記録
27
Q 15001:2017
表A.1−管理目的及び管理策(続き)
A.3.5.2
文書化した情報(記
録を除く。)の管理*
組織は,この規格が要求する全ての文書化した情報(記録を除く。)を管理す
る手順を確立し,実施し,かつ,維持しなければならない。
文書化した情報(記録を除く。)の管理の手順には,次の事項が含まれなけれ
ばならない。
a) 文書化した情報(記録を除く。)の発行及び改正に関すること
b) 文書化した情報(記録を除く。)の改正の内容と版数との関連付けを明確に
すること
c) 必要な文書化した情報(記録を除く。)が必要なときに容易に参照できるこ
と
A.3.5.3
文書化した情報の
うち記録の管理*
組織は,個人情報保護マネジメントシステム及びこの規格の要求事項への適
合を実証するために必要な記録として,次の事項を含む記録を作成し,かつ,
維持しなければならない。
a) 個人情報の特定に関する記録
b) 法令,国が定める指針及びその他の規範の特定に関する記録
c) 個人情報保護リスクの認識,分析及び対策に関する記録
d) 計画書
e) 利用目的の特定に関する記録
f) 保有個人データに関する開示等(利用目的の通知,開示,内容の訂正,追
加又は削除,利用の停止又は消去,第三者提供の停止)の請求等への対応
記録
g) 教育などの実施記録
h) 苦情及び相談への対応記録
i)
運用の確認の記録
j) 内部監査報告書
k) 是正処置の記録
l)
マネジメントレビューの記録
組織は,記録の管理についての手順を確立し,実施し,かつ,維持しなけれ
ばならない。
A.3.6 苦情及び相談への対応
目的 苦情及び相談に対応するため。
A.3.6
苦情及び相談への
対応*
組織は,個人情報の取扱い及び個人情報保護マネジメントシステムに関して,
本人からの苦情及び相談を受け付けて,適切かつ迅速な対応を行う手順を確立
し,かつ,維持しなければならない。
組織は,上記の目的を達成するために必要な体制の整備を行わなければなら
ない。
A.3.7 パフォーマンス評価
目的 パフォーマンス評価を実施するため。
A.3.7.1
運用の確認*
組織は,個人情報保護マネジメントシステムが適切に運用されていることが
組織の各部門及び階層において定期的に,及び適宜に確認されるための手順を
確立し,実施し,かつ,維持しなければならない。
各部門及び各階層の管理者は,定期的に,及び適宜にマネジメントシステム
が適切に運用されているかを確認し,不適合が確認された場合は,その是正処
置を行わなければならない。
個人情報保護管理者は,トップマネジメントによる個人情報保護マネジメン
トシステムの見直しに資するため,定期的に,及び適宜にトップマネジメント
にその状況を報告しなければならない。
28
Q 15001:2017
表A.1−管理目的及び管理策(続き)
A.3.7.2
内部監査*
組織は,個人情報保護マネジメントシステムのこの規格への適合状況及び個
人情報保護マネジメントシステムの運用状況を少なくとも年一回,適宜に監査
しなければならない。
組織は,監査の計画及び実施,結果の報告並びにこれに伴う記録の保持に関
する責任及び権限を定める手順を確立し,実施し,かつ,維持しなければなら
ない。
個人情報保護監査責任者は,監査員に,自己の所属する部署の内部監査をさ
せてはならない。
A.3.7.3
マネジメントレビ
ュー*
トップマネジメントは,9.3に規定するマネジメントレビューを実施するため
に,少なくとも年一回,適宜に個人情報保護マネジメントシステムを見直さな
ければならない。
マネジメントレビューにおいては,次の事項を考慮しなければならない。
a) 監査及び個人情報保護マネジメントシステムの運用状況に関する報告
b) 苦情を含む外部からの意見
c) 前回までの見直しの結果に対するフォローアップ
d) 個人情報の取扱いに関する法令,国の定める指針その他の規範の改正状況
e) 社会情勢の変化,国民の認識の変化,技術の進歩などの諸環境の変化
f) 組織の事業領域の変化
g) 内外から寄せられた改善のための提案
A.3.8 是正処置
目的 是正処置を実施するため。
A.3.8
是正処置*
組織は,不適合に対する是正処置を確実に実施するための責任及び権限を定
める手順を確立し,実施し,かつ,維持しなければならない。その手順には,
次の事項を含めなければならない。
a) 不適合の内容を確認する。
b) 不適合の原因を特定し,是正処置を立案する。
c) 期限を定め,立案された処置を実施する。
d) 実施された是正処置の結果を記録する。
e) 実施された是正処置の有効性をレビューする。
29
Q 15001:2017
附属書B
(参考)
管理策に関する補足
この附属書の細分箇条番号は表A.1の同じ細分箇条番号に対応しており,表A.1の記載内容に対応した
補足説明である。
B.3.1.1 一般
“トップマネジメントによって権限を与えられた者”とは,原則として個人情報保護管理者を指す。た
だし,承認する案件の軽重は,経営判断を要するものから現場の担当者の判断に任せるものまで様々であ
り,個人情報保護管理者以外のものが承認する場合もあり得る。
“組織が定めた手段”についても,承認する案件の軽重によって,経営層の決議を要するものから部署
内の決裁まで様々であると考えられる。
B.3.2 個人情報保護方針
A.3.2の目的は,組織の個人情報保護の理念を明確にし,公表することであり,この場合の“個人情報保
護の理念”とは,当該組織が個人情報保護に取り組む姿勢及び基本的な考え方を指すが,本人の権利利益
を尊重する意識を表したものとすることが望ましい。
B.3.2.1 内部向け個人情報保護方針
内部向け個人情報保護方針に,単に“事業内容及び規模を考慮して適切に取り扱います”などと記載し
たり,A.3.2.1のa)〜e) の各事項の文言をそのまま記載することは,A.3.2.1に適合しない。
A.3.2.1 a) においては,“特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下,目
的外利用という。)を行わないこと及びそのための措置を講じることを含む”とされているが,これは
A.3.4.2.6を遵守した対応を求めているものである。
A.3.2.1 b) の“法令,国が定める指針その他の規範”については,B.3.3.2に示す。
A.3.2.1の“利害関係者”には,従業者のほか,例えば,委託先,協業相手などの取引先などが考えられ
る。
B.3.2.2 外部向け個人情報保護方針
外部向け個人情報保護方針は,A.3.2.2に基づき一般の人が知り得るようにするための措置が求められる
ため,容易に理解できる表現であることが望ましい。
A.3.2.2の“一般の人が知り得るようにするための措置”としては,例えば,ウェブサイトによる公開が
考えられる。ウェブサイトをもたない場合は,例えば,会社パンフレットに記載し,受付カウンターに自
由に持ち帰ることができるように用意しておくとともに,遠方からの問合せに対しては,要望があればす
ぐに送付する体制を整えておくといった手段で差し支えない。
B.3.3 計画
B.3.3.1 個人情報の特定
個人情報を特定する場合ある情報が個人情報に該当するかどうかは,情報の単体又は複数の情報を組み
合わせて保存されているものから社会通念上“特定の個人を識別できる”と判断できるかによって,一般
人の判断力又は理解力をもって生存する具体的な人物と当該情報との間に個人識別性を認めるに至ること
ができるかどうかを考慮して判断する。また,組織は,個人情報に該当するかどうかの判断は,A.3.3.2に
30
Q 15001:2017
基づいて行うことが求められる。
さらに,この規格の趣旨を踏まえて死者の情報の適正な取扱いと管理が必要であると判断される場合は,
死者の情報も対象とすることが望ましい。その理由は,故人の個人情報が遺族の個人情報として解される
ことがあり,また,その利用目的との関係において,生死の別を厳格に管理しない場合もあるからである。
さらには,事業活動においては,契約によって取得している個人情報も多く,その一方当事者の死亡をも
って,即時に個人情報保護マネジメントシステムの対象情報から除外するというものでもないからである。
なお,死者の情報には,歴史上の人物まで対象とする必要がない。
個人情報を管理するための台帳に記載する事項は,A.3.3.1に示す事項のほか,必要に応じて,要配慮個
人情報の存否,取得の形態(本人から直接書面によって取得するか否か),利用目的などの本人への明示又
は通知の方法,本人同意の有無,本人への連絡又は接触及び第三者提供(共同利用を含む。)に関する事項,
委託に関する事項などを含めることが望ましい。
組織は,事業において利用する全ての個人情報について台帳整備が必須であるというわけではなく,ま
た,個人情報の取扱いについては,その個人情報の利用目的を特定した上で,その利用目的の範囲内で,
個人情報保護リスクに応じて個々の従業者に委ねるなど,柔軟な取扱いとしてもよい。
“組織は,特定した個人情報については,個人データと同様に取り扱わなければならない。”とは,A.3.4.2,
A.3.4.3において個人データに対する管理策だけが示される場合であっても,特定した個人情報については,
A.3.3.3に基づき個人情報保護リスクに応じて,必要かつ適切な安全管理措置を講じることをいう。例えば,
従業者に個人情報を取り扱わせる場合に,A.3.4.3.3と同等に従業者に対する監督を行うことがこれに該当
する。また,委託先への個人情報の提供又は委託先との間での個人情報の授受に伴い,個人情報の受け渡
しが発生する場合に,受け渡し時の手順を規定の上で実施することも,これに該当する。
B.3.3.2 法令,国が定める指針その他の規範
この規格は,組織が個人情報の取扱いに関する法令,国が定める指針その他の規範に基づき個人情報を
取り扱うことを前提としている。
法令等には,①法[個人情報の保護に関する法律(以下,個人情報保護法という。),行政機関の保有す
る個人情報の保護に関する法律(平成15年5月30日法律第58号),独立行政法人等の保有する個人情報
の保護に関する法律(平成15年5月30日法律第59号)],②個人情報の保護に関する基本方針,③政令[個
人情報の保護に関する法律施行令(平成15年12月10日政令第507号)],④施行規則(個人情報保護委員
会規則),⑤個人情報保護委員会ガイドライン,⑥関係省庁ガイドライン,⑦認定個人情報保護団体の指針,
⑧地方公共団体が制定する条例,⑨その他,行政手続における特定の個人を識別するための番号の利用等
に関する法律(平成25年5月31日法律第27号)などの個人情報保護に関係する法令が含まれる。
B.3.3.3 リスクアセスメント及びリスク対策
A.3.3.3は,個人情報保護の観点から,情報セキュリティ対策の観点だけではなく,個人情報保護リスク
の観点からのリスクの特定,分析及び対策を行うよう求めている。個人情報保護リスクは,本文の3.44で
定義するように,法令等に対する違反,想定される経済的な不利益,社会的な信用の失墜などのおそれも
含んでいる。
“利用目的の達成に必要な範囲を超えた利用を行わないため,必要な対策を講じる手順”には,例えば,
利用目的が定められていない個人情報については利用することができない旨の手順も含まれる。
“個人情報保護リスクを特定”とは,特定した個人情報が含まれる媒体の取得・入力,移送・送信,利
用・加工,保管・バックアップ,消去・廃棄に至る一連の流れの各局面において,適正な保護措置を講じ
ない場合に想定されるリスクを洗い出すことをいう。
31
Q 15001:2017
個人情報保護リスクを“分析”するとは,洗い出したリスクを定性的な評価などによって評価すること
をいう。
“必要な対策を講じる”とは,分析した個人情報保護リスクに対し,その評価に相応した合理的な対策
を講じることをいう。
“合理的な対策”とは,組織の事業内容又は規模に応じ,経済的に実行可能な最良の技術の適用に配慮
することである。
“残留リスク”とは,個人情報保護リスク対策後に残る個人情報保護リスクのことである。
“少なくとも年一回,適宜に見直さなければならない。”とは,リスクは,技術の進展,環境の変化など
によって変動するものであることから,個人情報保護リスクの特定・分析及び対策は,一度だけ実施すれ
ばよいものではなく,継続的な見直しが必要であることをいう。
B.3.3.4 資源,役割,責任及び権限
“資源”とは,個人情報保護マネジメントシステムの確立,実施,維持及び継続的改善に必要な資源(本
文の7.1)であり,具体的には人員,組織の基盤(規程,体制,施設・設備など),資金などをいう。
個人情報保護管理者は,個人情報保護マネジメントシステムを理解し,実施・運用できる能力をもった
者であることが望ましい。個人情報保護管理者は,当該組織に係る個人情報の管理の責任者である性格上,
いたずらに指名する者を増やし,責任が不明確になることを避けることが望ましい。したがって,事業部
が複数あり個人情報保護管理者を複数名指名する場合には,当該者間での役割分担を明確にすることが望
ましい。
個人情報保護管理者は,社外に責任をもつことができる者(例えば,役員クラス)を指名することが望
ましい。
個人情報保護監査責任者は,社外に責任をもつことができる者(例えば,役員クラス)であって,個人
情報保護管理者と同格又は上席者の中から指名されることが望ましい。
B.3.3.5 内部規程
“内部規程を文書化し,かつ,維持する”とは,手順として確立したルールを文書化しておくことによ
って担当者が変わっても個人情報保護水準の継続性を保つことをいう。ルールが明文化されていないこと
も個人情報保護リスクの一つである。
内部規程の文書化には,A.3.3.3によって実施した個人情報保護リスクの特定・分析及び対策に基づく手
順の文書化が含まれる。個人情報保護リスクの特定が十分になされていればその対策を内部規程として文
書化する作業は容易である。内部規程の文書化とは,基本となる規程を形式的に定めるだけでなく,それ
を受けて細則,マニュアル,チェックリストなどを作成し,どのような行為をなすことが望ましいか,又
は望ましくないのか,従業者が具体的に規程を参照できるように構成することである。内部規程は,必ず
しも形式的に一本化される必要はなく,例えば,内部規程の違反に関する罰則は,就業規則で規定しても
よい。
A.3.3.5 d) は,個人情報を保護するための組織規程を含む。組織規程には,組織の各部門及び階層にお
ける権限及び責任が含まれる。
B.3.3.6 計画策定
計画は,組織における内部及び外部の課題,並びに利害関係者からの要求事項を踏まえて,長期,中期,
短期に策定されることが望ましい。A.3.3.6は,個人情報保護マネジメントシステムの計画策定に当たり,
最低限求められる事項について定めている。
“必要な計画”には,教育,内部監査,安全管理計画(情報セキュリティ対策),委託先の監督,マネジ
32
Q 15001:2017
メントレビュー実施のための具体的な計画を含む。
計画の“文書化”とは,実施のための具体的な計画を,計画書として文書化することをいう。どのよう
な計画書を作成するかについては,A.3.7.3のマネジメントレビューで把握された課題も踏まえ,組織の置
かれた状況などを勘案して,個別に必要性を検討することが望ましい。
A.3.3.6 a) の“教育実施計画書”は,研修の年間カリキュラム,個別の研修プログラム(研修名,開催
日時,場所,講師,受講対象者及び予定参加者数,研修の概要,使用テキスト,任意参加か否かの別など),
予算などによって構成する。
“A.3.4.5に規定する事項を踏まえた教育実施計画”とは,A.3.4.5の管理策を満たすために具体的な計画
を策定することをいう。
A.3.3.6 b) の“内部監査実施計画書”は,当該年度に実施する監査テーマ,監査対象,目的,範囲,手
続,スケジュールなどによって構成する。
“A.3.7.2に規定する事項を踏まえた内部監査実施計画”とは,A.3.7.2の管理策を満たすよう具体的な計
画を策定することをいう。
なお,内部監査の計画には,前回までの見直しの結果についてのフォローアップを含めてもよい。
B.3.3.7 緊急事態への準備
緊急事態を特定するための手順及び特定した緊急事態にどのように対応するかの手順(対応手順)の策
定に当たっては,次のような事項を考慮することが望ましい。
− 緊急事態及び事故が最も起こりやすい場面
− 予想される被害の規模
− 被害を最小限に抑えるための一次的な対処方法
− 組織内の緊急連絡網及び組織外への報告手順の確立
− 再発防止処置を実施する手順
− 緊急時対応についての教育訓練
A.3.3.7のa)〜c) の事項を実施するに当たっては,例えば,どのような場合にどのような手順になるか,
法令等に従って対応を定め,その対応に従い実施することが望ましい。
A.3.3.7 b) の事案の公表に際しては,公表によって本人などへの二次被害を招かないように,被害の重
篤性を踏まえた上で,公表する内容,手段及び方法を考慮することが望ましい。また,個人情報の取扱い
の全部又は一部を受託している受託者については,委託契約において何ら取決めがない場合は,委託者と
相談の上実施することが望ましい。
B.3.4 実施及び運用
B.3.4.2.1 利用目的の特定
“利用目的をできる限り特定し”とは,利用目的を単に抽象的,一般的に特定するのではなく,組織が
最終的にどのような目的で個人情報を利用するのかを可能な限り具体的に特定することをいう。個人情報
の利用目的は,個人情報の項目ごとにその利用目的が異なる場合,項目ごとに区別して特定することが望
ましい。単に“事業活動に用いるため”,“提供するサービスの向上のため”,又は“マーケティング活動に
用いるため”と表現することは,A.3.4.2.1に適合しない。
また,消費者など,本人の権利利益保護の観点からは,事業活動の特性,規模及び実態に応じ,事業内
容を勘案して顧客の種類ごとに利用目的を特定して示したり,本人の選択によって利用目的の特定ができ
るようにしたりするなど,本人にとって利用目的がより明確になるような取組みが望ましい。
なお,特定した利用目的は,A.3.4.2.4及びA.3.4.2.5に基づき通知若しくは公表する,又は明示すること
33
Q 15001:2017
が定められている。
B.3.4.2.2 適正な取得
“適法かつ公正な手段によって個人情報を取得し”に反する例として,少なくとも次の事項がある。
a) 利用目的を偽るなど不公正な手段によって個人情報を取得すること。
b) 優越的な地位を利用して個人情報を取得すること。
不正の利益を得る目的で,又はその保有者に損害を加える目的で,秘密として管理されている事業上有
用な個人情報で公然と知られていないものを,不正に取得したり,不正に使用・開示した場合には不正競
争防止法(平成5年法律第47号)第21条,第22条によって刑事罰(行為者に対する10年以下の懲役若
しくは2,000万円以下の罰金,又はその併科。法人に対する3億円以下の罰金)が科され得る。
また,第三者からの提供(法第23条第1項各号に掲げる場合並びに個人情報の取扱いの委託,事業の承
継及び共同利用に伴い,個人情報を提供する場合を除く。)によって,個人情報(政令第2条第2号に規定
するものから取得した個人情報を除く。)を取得する場合には,提供元の法の遵守状況(例えば,オプトア
ウト,利用目的,開示手続,問合せ・苦情の受付窓口を公表していることなど)を確認し,個人情報を適
切に管理している者を提供元として選定するとともに,実際に個人情報を取得する際には,例えば,取得
の経緯を示す契約書などの書面を点検するなどによって,当該個人情報の取得方法などを確認した上で,
当該個人情報が適法に取得されたことが確認できない場合は,偽りその他不正の手段によって取得された
ものである可能性もあることから,その取得を自粛することを含め,慎重に対応することが望ましい。
【不正の手段によって個人情報を取得している事例】
事例1) 親の同意がなく,十分な判断能力を有していない子どもから,取得状況から考えて関係のない
親の収入事情などの家族の個人情報を取得する場合。
事例2) 法第23条に規定する第三者提供制限違反をするよう強要して個人情報を取得した場合。
事例3) 他の事業者に指示して上記事例1),事例2) などの不正の手段で個人情報を取得させ,その事業
者から個人情報を取得する場合。
事例4) 法第23条に規定する第三者提供制限違反がされようとしていることを知り,又は容易に知るこ
とができるにもかかわらず,個人情報を取得する場合。
事例5) 上記事例1),上記事例2) などの不正の手段で個人情報が取得されたことを知り,又は容易に知
ることができるにもかかわらず当該個人情報を取得する場合。
B.3.4.2.3 要配慮個人情報
要配慮個人情報を取得する場合には,書面による本人の同意を得ることが,A.3.4.2.3で求められており,
それ以外の方法での同意の取得は,A.3.4.2.3に適合しない。
書面による本人の同意取得は,新たに要配慮個人情報を取得する場合に限らず,要配慮個人情報の取得
のつど行うことが望ましい。また,要配慮個人情報を直接書面によって取得する場合は,A.3.4.2.5で求め
る本人への明示,及び本人の同意取得と合わせて,A.3.4.2.3の同意取得を行うことが望ましい。
A.3.4.2.3 a) の“法令に基づく場合”には,組織が,労働安全衛生法に基づき健康診断を実施し,これに
よって従業者の身体状況,病状,治療などの情報を健康診断実施機関から取得する場合が該当する。
A.3.4.2.3 e) は,要配慮個人情報を取得する際に,あらかじめ書面による本人の同意を得ることを要しな
い要件を法令等で限定的に定めている。
B.3.4.2.4 個人情報を取得した場合の措置
個人情報の取得には,本人から直接書面によって取得する場合,書面によらずに取得する場合(例えば,
カメラによって取得した場合,口頭によって取得した場合など),本人以外の者から取得する場合(個人情
34
Q 15001:2017
報取扱業務の委託を受ける場合,第三者から個人情報の提供を受ける場合,公開情報から取得する場合な
ど)が該当する。このうち,本人から直接書面によって取得する場合の措置については,A.3.4.2.5に規定
されている。
A.3.4.2.4の“利用目的”とは,A.3.4.2.1に基づき,組織が特定した利用目的をいう。
本人から書面によらずに取得する場合,利用目的は,本人との契約類似の信頼関係の中で黙示的に了解
されることが望ましい。
本人以外の者から取得する場合,組織は,委託元又は提供元との契約などにおいて,利用目的を,あら
かじめ明示することが望ましい。
公開情報から取得する場合,組織は,A.3.4.2.1に基づき,公開された目的の範囲内で利用目的を特定の
上で,特定した利用目的についてA.3.4.2.4に基づく措置を講じる。公表された範囲を超えて利用しようと
する場合,組織は,A.3.4.2.5ではなく,A.3.4.2.7に基づく措置を講じることが求められる。
A.3.4.2.4の“本人に通知”とは,本人に直接知らせることをいう。組織は,本人に通知するに当たり,
事業の性質及び個人情報の取扱状況に応じ,本人が内容を理解できる合理的かつ適切な方法によることを
いう。例えば,対面又は電話のように口頭によって個人情報を取得する場合などは,通知も書面によらず
に口頭で行ってもよい。
A.3.4.2.4の“公表”とは,広く一般に自己の意思を知らせること(国民一般その他不特定多数の人々が
知ることができるように発表すること。)をいう。
A.3.4.2.4 a) の場合とは,いわゆる総会屋などによる不当要求などの被害を防止するため,当該総会屋の
個人に関する情報を取得し,企業相互に情報交換を行っている場合で,利用目的を通知又は公表すること
によって,当該総会屋などの逆恨みによって,第三者たる情報提供者が被害を被るおそれがある場合など
をいう。
A.3.4.2.4 b) の場合とは,例えば,通知又は公表される利用目的の内容によって,当該組織が行う新商品
などの開発内容,営業ノウハウなどの企業秘密にかかわるようなものが明らかになる場合などをいう。
A.3.4.2.4 c) の場合とは,例えば,公開手配を行わないで,被疑者に関する個人情報を,警察から被疑者
の立ち回りが予想される組織に限って提供された場合,警察から受け取った当該組織が,利用目的を本人
に通知するか,又は公表することによって,捜査活動に重大な支障を及ぼすおそれがある場合などをいう。
A.3.4.2.4 d) の場合であるかどうかは,条理又は社会通念による客観的判断によって,極力限定的に解釈
することが望ましい。商品及びサービスの販売・提供において住所・電話番号などの個人情報を取得する
場合があるが,その利用目的が当該商品,サービスなどの販売・提供だけを確実に行うためという利用目
的であるような場合(クリーニング店,デリバリーサービスなどで受取人を特定するために個人情報を取
得するなど),一般の慣行としての名刺交換(ただし,ダイレクトメールなどの目的に名刺の個人情報を用
いることは,自明の利用目的に該当しない場合がある。)の場合などはこれに該当する。また,請求書,見
積書などの伝票に記載された担当者名,なつ(捺)印などもこれに該当する。ただし,A.3.4.2.4 d) によっ
て取得した個人情報であっても,その取扱いの委託を受けた場合は,A.3.4.2.4 d) に該当しない。
B.3.4.2.5 A.3.4.2.4のうち本人から直接書面によって取得する場合の措置
“A.3.4.2.4の措置を講じた場合において”とは,A.3.4.2.4による取得は,A.3.4.2.5の取得の前提である
ことをいう。よって,組織は,A.3.4.2.5の措置の前提として,まず,A.3.4.2.4の措置(適用除外を含む。)
を行うことが求められる。
A.3.4.2.5の“書面によって本人に明示”とは,本人に対して,A.3.4.2.5のa)〜h) の事項又はそれと同等
以上の内容の事項が書面によって明確に示されることをいい,例えば,A.3.4.2.5のa)〜h) の事項を明記し
35
Q 15001:2017
た契約書その他の書面を相手方である本人に手渡し又は送付すること,本人がアクセスした自社のウェブ
画面上にA.3.4.2.5のa)〜h) の事項を明記するなど,事業の性質及び個人情報の取扱状況に応じ,内容が
本人に理解できる合理的かつ適切な方法によることである。
A.3.4.2.5 d) の“個人情報を第三者に提供することが予定される場合の事項”は,個人情報の第三者への
提供は,本人が直接関与しないことが多いため,本人に懸念を抱かせないよう,本人に明示する事項を定
めている。“組織の種類,及び属性”とは,個人情報の提供を受ける組織(企業)の業種と提供元である組
織(企業)との関係(関連会社,持株会社など)をいう。
A.3.4.2.5 g) の“本人が個人情報を与えることの任意性”とは,例えば,申込書への個人情報の記入が義
務的なものなのか,任意であるかについて本人に対して説明することをいう。“当該情報を与えなかった場
合に本人に生じる結果”とは,例えば,申込書などに本人が個人情報を記入しなかった場合に起こり得る
結果をいう。
【当該情報を与えなかった場合に本人に生じる結果】
事例1) 本人が懸賞応募申込書に個人情報を記入しないため,当選しない。
事例2) 本人が結婚紹介申込書の年収の欄に記入しないため,年収を考慮した相手が紹介されない。
事例3) 本人が中途採用に応募するに当たり,履歴書に職歴を記入しないため,一定の職種で選考対象
とされない。
A.3.4.2.5 h) の“本人が容易に知覚できない方法によって個人情報を取得する場合には,その旨”とは,
例えば,スマートフォンのアプリケーション経由で自動的に取得する位置情報,端末情報などが挙げられ,
その場合には,当該方法によって個人情報を取得している旨及び取得する個人情報の内容を開示すること
をいう。
B.3.4.2.6 利用に関する措置
“特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合”とは,例えば,組織内のあ
る部門が本人の同意を得て取得した個人情報を他の部門が本人の同意を得た当初の目的の範囲外で利用す
る場合,組織が利用目的を特定した日以降に利用目的を変更し,かつ,A.3.4.2.4又はA.3.4.2.5によって既
に利用目的を明らかにしている場合などをいう。
なお,本人が想定できる範囲であっても,同意を得た範囲を超えて利用目的を変更することは目的外利
用に該当する点に注意することが望ましい。
A.3.4.2.3 a) は,法令に基づいて個人情報を取り扱う場合をいう。例えば,刑事訴訟法第218条の令状に
よる捜査に基づき,個人情報を取り扱う場合,少年法第6条の5の令状による触法少年の調査の場合,所
得税法第234条の所得税に係る税務職員の質問検査権の行使の場合,地方税法第72条の7の事業税に係る
徴税吏員の質問検査権行使の場合などをいう。
A.3.4.2.3 b) は,人(法人を含む。)の生命又は財産といった具体的な権利利益が侵害されるおそれがあ
り,これを保護するために個人情報の利用が必要であり,かつ,本人の同意を得ることが困難である場合
(他の方法によって,当該権利利益の保護が十分可能である場合を除く。)をいう。例えば,1) 急病その
他の事態時に,本人について,その血液型,家族の連絡先などを医師及び看護師に提供する場合,2) 製品
事故が生じているか,又は製品事故は生じていないが人の生命若しくは身体に危害を及ぼす急迫した危険
が存在するために,製造事業者などが消費生活用製品をリコールする場合であって,かつ,販売事業者,
修理事業者,設置工事事業者などが当該製造事業者などに対して,当該製品の購入者などの情報を提供す
る場合などをいう。
A.3.4.2.3 c) は,公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合で
36
Q 15001:2017
あり,かつ,本人の同意を得ることが困難である場合(他の方法によって,当該権利利益の保護が十分可
能である場合を除く。)をいう。例えば,不登校生徒の問題行動について,児童相談所,学校,医療行為な
どの関係機関が連携して対応するために,当該関係機関などの間で当該児童生徒の情報を交換する場合な
どをいう。
A.3.4.2.3 d) は,国の機関などが法令の定める事務を実施する上で,民間企業の協力を得る必要がある場
合であり,協力する民間企業などが目的外利用を行うことについて,本人の同意を得ることが当該事務の
遂行に支障を及ぼすおそれがあると認められる場合をいう。例えば,組織が,税務署の職員などの任意調
査に対し,個人情報を提出する場合などをいう。
A.3.4.2.3 b)〜c) の場合に該当するかどうかについては,当事者のし(恣)意的な判断ではなく,条理又
は社会通念による客観的判断のもとで,極力限定的に解釈することが望ましい。
A.3.4.2.3 d) の場合に国の機関などによる任意の求めに応じるかどうかについては,当事者のし(恣)意
的な判断ではなく,条理又は社会通念による客観的判断のもとで,限定的に解釈することが望ましい。
B.3.4.2.7 本人に連絡又は接触する場合の措置
A.3.4.2.7の“本人に連絡又は接触する”とは,個人情報の利用目的の達成に当たり,本人に対し,郵便,
電話,メールなどを送ること又は訪問することなどをいう。
A.3.4.2.7の“取得方法”については,“同窓会名簿”及び“官報”などの取得源の種類並びに“書店から
購入”などの取得経緯を通知することが望ましい。
A.3.4.2.7の同意は,例えば,ダイレクトメールの場合,最初に出すダイレクトメールに通知文書を同封
して送付し,本人の同意が得られれば,継続して本人に連絡又は接触してもよい。
なお,回答がない場合には同意がなかったものとみなすことが望ましい。
A.3.4.2.7 b) によって個人情報の取扱いの委託を受けた者は,個人情報の取扱いに際し,委託の本旨に反
して利用及び提供をすることは当然に許されないことであり,また,この規格に従い,個人情報を適正に
管理することが望ましい。
なお,委託を受けた者が,自身は適正に業務を実施するとしても,結果として個人情報の不適正な利用
を助長することになれば,それもまた当然に許されないことといえる。したがって,委託を受ける者は,
委託を受けた個人情報が適正に取得されたものかどうか,委託者に確認することが望ましく,委託する者
が明らかに法令に違反している場合には,委託を受けないことが望ましい。
A.3.4.2.7 d) は,個人情報を第三者から取得することによって共同利用に参加する場合が該当する。この
場合も,組織は,要求事項に基づく措置を講じることが望ましい。
A.3.4.2.7 d) の“共同して利用する者の範囲”とは,本人からみてその範囲が明確である内容であるが,
範囲が明確である限りは,必ずしも個別列挙しなくてもよい。例えば,共同して利用する者の最新のリス
トを本人が容易に知り得る状態に置いているときなどをいう。
A.3.4.2.7 d) の“共同して利用する個人情報の管理について責任を有する者の氏名又は名称”とは,開示
等の請求等(A.3.4.4.1以下を参照。)及び苦情を受け付け,その処理に尽力するとともに,個人情報の内容
などについて,開示,訂正,利用停止などの権限を有し,安全管理など個人情報の管理について責任を有
する者の氏名又は名称(共同して利用する者の中で,第一次的に苦情の受付・処理,開示・訂正などを行
う権限を有する者を,“責任を有する者”といい,共同して利用する者の内部の担当責任者をいうのではな
い。)をいう。
A.3.4.2.7 d) に規定する共同利用を実施する際には,共同して利用する者の間で,共同して利用する者の
要件,各共同して利用する者の個人情報取扱責任者・問合せ担当者及び連絡先,共同利用する個人情報の
37
Q 15001:2017
取扱いに関する事項(漏えい防止に関する事項,目的外加工,利用,複写,複製の禁止など),共同利用す
る個人情報の取扱いに関する取決めが遵守されなかった場合の措置,共同利用する個人情報に関する事
件・事故が発生した場合の報告・連絡に関する事項,共同利用を終了する際の手続などを取り決めておく
ことが望ましい。
B.3.4.2.8 個人データの提供に関する措置
A.3.4.2.8 a) の規定によって,個人情報を直接取得する時点で,情報の提供について,本人から再提供を
含めて同意を得ている提供者から取得した場合は,本人が同意した利用目的の範囲内で提供する限り,改
めて本人の同意を得る必要がない。例えば,本人の同意を得て作成されている名簿を販売するときがこれ
に該当する。
本人に通知する事項には,A.3.4.2.5 d) の“個人情報を第三者に提供することが予定される場合の事項”
が含まれるが,ここでは“個人情報”を“個人データ”と読み替えてもよい。
なお,特定した利用目的の達成を必要な範囲を超えて個人データを提供することは,利用目的の達成に
必要な範囲を超えた利用となり,A.3.4.2.8 a) の規定に該当しないため,A.3.4.2.6の規定によって,本人の
同意を得ることが望ましい。
A.3.4.2.8 b) の“本人の同意を得ることが困難な場合”に該当するかどうかの解釈は,大量の個人のデー
タを広く一般に提供する場合など,公共的な有益性と本人の不利益とを比較し,条理又は社会通念による
客観的判断のもとで,極力限定的に解釈することが望ましい。
なお,この場合には法令等の定めに基づく届出の手続を行うことも含まれる。
A.3.4.2.8 c) の“法人その他の団体の役員に関する情報”とは,株主,顧客に配布される書類などに記載
されている役員の履歴,持株数など,本人又は当該法人その他の団体自らによって公表されているような
情報をいう。個人が営業する屋号については,法人その他の団体の役員に関する情報と考えてもよい。
“本人が容易に知り得る状態”とは,本人が知ろうとすれば,時間的にも,その手段においても,簡単
に知ることができる状態に置いていることをいい,事業の性質及び個人情報の取扱状況に応じ,内容が本
人に認識される合理的かつ適切な方法によることをいう。
A.3.4.2.8 e) に関連して,A.3.4.2.8 e) に該当する場合に加え,事業の承継のために,事業承継の契約を締
結するより前の交渉段階で,相手会社から自社の調査を受け,自社の個人情報を相手会社へ提供する場合
は,当該個人情報の利用目的及び取扱方法,漏えいなどが発生した場合の措置,事業承継の交渉が不調と
なった場合の措置など,相手会社に安全管理措置を遵守させるため必要な契約を締結することについても
A.3.4.2.8 e) に含めて差し支えない。
A.3.4.2.8 f) は,個人情報を第三者に提供することによって共同利用への参加を認める場合が該当する。
共同利用の留意事項については,B.3.4.2.7を参照。
B.3.4.2.8.1 外国にある第三者への提供の制限
“法令等の定めに基づく外国にある第三者”には,提供元の組織と法人格とが別の関連会社又は子会社
も含まれる。一方で,日本の法人格を有する当該組織の外国支店などは第三者には当たらない。
B.3.4.2.8.2 第三者提供に係る記録の作成など
個人データを第三者に提供したときは,当該個人データを提供した①年月日,②当該第三者の氏名又は
名称,及び③その他の法令等で定める事項に関する記録の作成義務が課され,当該記録を作成した日から
法令等で定める期間保存することが法令で定められている。
なお,本人の同意があっても記録義務は免除されないことが法令で定められている。
記録の作成方法は,書面又は電子データのいずれでもよく,別途特別に紙ファイル又はデータベースを
38
Q 15001:2017
作成しなくても,年月日,提供の相手方などの記録すべき事項がログ,IPアドレスなどの一定の情報を分
析することによって明らかになる場合には,その状態を保存することで差し支えない。
A.3.4.2.8.2 c) は,個人情報を第三者に提供することによって共同利用する場合が該当する。共同利用の
留意事項については,B.3.4.2.7を参照。
B.3.4.2.8.3 第三者提供を受ける際の確認など
第三者から個人データの提供を受けるに際しては,提供先(受領側)において,①提供元である第三者
の氏名又は名称及び住所並びに法人などについては代表者の氏名,②提供元である第三者による当該個人
データの取得の経緯を確認することが法令で定められている。
①及び②の確認を行ったときは,法令等の定めに基づく記録を作成することとされている。
B.3.4.2.8.2も含め,トレーサビリティの確保に係る義務によって作成された記録が“保有個人データ”
に該当する場合は,開示請求の対象にすることが望ましい。
B.3.4.2.9 匿名加工情報
個人情報保護リスク軽減の観点から,組織は,匿名加工情報を安易に個人情報保護マネジメントシステ
ムの対象外と捉えることなく,匿名加工情報の取扱いの各局面において復元のリスクがないかなどについ
てリスクアセスメント及びリスク対策を行うことが望ましい。“匿名加工情報の取扱いを行うか否かの方
針”とは,このリスクアセスメント及びリスク対策の結果である。したがって,当該方針の文書化及び外
部への公表の要否についても,リスクアセスメント及びリスク対策を踏まえた運用となる。匿名加工情報
取扱いのリスクアセスメント及びリスク対策は,A.3.3.3を参考に行うことが望ましい。
“適切な取扱いを行う手順”は,法令等の遵守の観点から,文書化した情報として管理し,A.3.5を参考
に内部規程の作成,記録の管理などを行うことが望ましい。また,A.3.4.5に基づく教育の実施など,匿名
加工情報を取り扱う担当者を踏まえた管理を行うことも有効であるといえる。組織が,附属書Aに示す管
理策を参考に匿名加工情報を管理することが,“確立し,かつ,維持”につながる。
B.3.4.3.1 正確性の確保
正確性の確保とは,例えば,誤入力チェック,誤りなどを発見した場合の訂正,内容の更新,保存期間
の設定,データのバックアップなどの手順を確立することである。
なお,取得した個人データを一律に又は常に最新化する必要はなく,それぞれの利用目的に応じて,そ
の必要な範囲内で正確性・最新性を確保することが望ましい。
個人データの消去に当たり,組織は,法令の定めによる保存期間などに留意することが望ましい。
B.3.4.3.2 安全管理措置
安全管理措置は,緊急事態が発生した場合に本人が被る権利利益の侵害の大きさを考慮し,事業の性質
及び個人情報の取扱状況などに起因する個人情報保護リスクに応じた必要かつ適切な措置を講じることが
求められているのであって,全ての個人情報についての一律な措置を講じる必要がない。
安全管理措置とは,組織的安全管理措置,人的安全管理措置,物理的安全管理措置,及び技術的安全管
理措置をいう。
“組織的安全管理措置”とは,安全管理について従業者(法第21条参照)の責任及び権限を明確に定め,
安全管理に対する規程及び手順書を整備運用し,その実施状況を確認することをいう。
“人的安全管理措置”とは,従業者(個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監
督を受けて事業者の業務に従事している者をいい,雇用関係にある従業員(正社員,契約社員,嘱託社員,
パート社員,アルバイト社員など)だけでなく,取締役,執行役,理事,監査役,監事,派遣社員なども
含まれる。)に対する,業務上秘密と指定された個人データの非開示契約の締結,教育・訓練などを行うこ
39
Q 15001:2017
とをいう。
“物理的安全管理措置”とは,入退館(室)の管理,個人データの盗難の防止などの措置をいう。
“技術的安全管理措置”とは,個人データ及びそれを取り扱う情報システムへのアクセス制御,不正ソ
フトウェア対策,情報システムの監視など,個人データに対する技術的な安全管理措置をいう。
“必要かつ適切”とは,経済的に実行可能な最良の技術の適用に配慮することをいう。
“経済的に実行可能な最良の技術”は,組織の事業内容及び規模によって異なっても差し支えない。
個人情報の漏えい事例には,廃棄時の漏えいが多くみられることから,廃棄に当たっても,電子ファイ
ルの消去,個人情報が打ち出された紙の破砕処理などによって,廃棄された個人情報が他者に流出するこ
とのないよう留意することが望ましい。
なお,安全管理措置については,個人情報保護リスク軽減の観点から,個人情報を対象としている。
B.3.4.3.3 従業者の監督
監査役に対する監督を実施する場合には,例えば,株主総会による選任権及び解任権を通じた監督が考
えられ,取締役など業務執行者による監督は,内部監査の独立性が害されるため監督したことにならない。
なお,A.3.4.5の認識の管理策は,従業者に,個人情報保護マネジメントシステムの運用を確実に実施で
きる力量を備えさせるための管理策であり,従業者の監督とは意味合いが異なる。
また,組織が従業者に個人情報を取り扱わせる場合,個人データと同様に取り扱わせなければならない
ことについては,B.3.3.1参照。
B.3.4.3.4 委託先の監督
委託を行う場合においては,委託者は,消費者など,本人の権利利益保護の観点から,事業内容の特性,
規模及び実態に応じ,委託の有無,委託する事務の内容を明らかにするなど,委託処理の透明化を進める
ことが望ましい。A.3.4.3.4における委託先には,個人も含まれる。
“必要かつ適切な監督”には,組織が,A.3.4.3.2に基づき安全管理措置を講じることが含まれる。例え
ば,委託者が委託する業務内容に対して必要のない個人データを提供しないよう安全管理措置を講じるこ
とはA.3.4.3.2に適合する。一方,委託者が必要のない個人データを委託先に提供した結果,委託先が個人
データを漏えいした場合には,委託者についても,A.3.4.3.2に適合しない。
また,個人データの取扱いの全部又は一部を委託する場合に限らず,委託先への個人情報の提供又は委
託先との間での個人情報の授受が発生する場合の対応については,B.3.3.1参照。
委託先が倉庫業,データセンター(ハウジング,ホスティング)などの事業者であって,当該事業者に
取り扱わせる情報に個人データが含まれるかを知らせることなく預ける場合であっても,委託者は委託す
るものが個人データであることを知っているわけであるから,A.3.4.3.4における監督の対象に含まれる。
ただし,“個人データ”に関する条項を契約書に盛り込まなくてもよい。
A.3.4.3.4のa)〜g) の事項は,いかなる場合にも契約によって規定することを要求するものではなく,取
り扱う個人データのリスクに応じて規定する内容が変わっても差し支えない。
A.3.4.3.4 b) 個人データの安全管理に関する事項には,次の事項が含まれる。
− 個人データの漏えい防止及び盗用禁止に関する事項
− 委託範囲外の加工及び利用の禁止
− 委託契約範囲外の複写及び複製の禁止
− 委託契約期間
− 委託契約終了後の個人情報の返還・消去・廃棄に関する事項
A.3.4.3.4 c) 再委託に関する事項には,次の事項が含まれる。
40
Q 15001:2017
− 再委託を行うに当たっての委託者への文書による報告
個人データの取扱いを再委託する場合,委託元との契約に,再委託を行うに当たっての委託元への文書
による事前報告又は承認について盛り込むことが望ましい。
委託元が委託先について“必要かつ適切な監督”を行っていない場合で,委託先が再委託をした際に,
再委託先が適切といえない取扱いを行ったことによって,何らかの問題が生じたときは,元の委託元がそ
の責めを負うことがあり得るので,再委託する場合は注意をすることが望ましい。
このため,委託先が再委託を行おうとする場合は,委託を行う場合と同様,委託元は,再委託先に対し,
A.3.4.3.2に基づき少なくとも委託する当該業務に関しては,自社と同等以上の個人情報保護の水準にある
ことを客観的に確認することが望ましい。確認の例としては,委託先が再委託する相手方,再委託する業
務内容,再委託先の個人データの取扱方法などについて,委託先から事前報告又は承認を求めること,委
託先を通じて又は必要に応じて自らが,定期的に,及び適宜に監査を実施することなどがある。再委託先
が再々委託を行う場合以降も,再委託を行う場合と同様とすることが望ましい。
【必要かつ適切な監督を行っていない場合】
事例1) 再委託の条件に関する指示を委託先に行わず,かつ,委託先の個人データの取扱状況の確認を
怠り,委託先が個人データの処理を再委託し,再委託先が個人データを漏えいした場合。
事例2) 契約の中に,委託元は委託先による再委託の実施状況を把握することが盛り込まれているにも
かかわらず,委託先に対して再委託に関する報告を求めるなどの必要な措置を講じなかった結果,委託元
の認知しない再委託が行われ,その再委託先が個人データを漏えいした場合。
なお,人材派遣事業者との人材派遣契約,清掃事業者との契約,オフィスの賃貸借契約などは,個人デ
ータの取扱いを含まない限り,A.3.4.3.4の対象外として差し支えない。これらは広くA.3.4.3.2に含まれる
ものであり,このような事業者とは,守秘義務に関する事項を盛り込んだ契約を締結することが望ましい。
B.3.4.4.1 個人情報に関する権利
A.3.4.4.1 a) の場合とは,例えば,家庭内暴力又は児童虐待の被害者の支援団体が,加害者(配偶者又は
親権者)及び被害者(配偶者又は子)を本人とする個人データをもっている場合などをいう。
A.3.4.4.1 b) の場合とは,例えば,いわゆる総会屋などによる不当要求被害を防止するため組織が総会屋
などを本人とする個人データをもっている場合,不審者,悪質なクレーマーなどからの不当要求被害を防
止するため当該行為を繰り返す者を本人とする個人データを保有している場合などをいう。
A.3.4.4.1 c) の場合とは,例えば,製造業者,情報サービス事業者などが,防衛に関する兵器・設備・機
器・ソフトウェアなどの設計・開発担当者名が記録された個人データを保有している場合,要人の訪問先
又はその警備会社が,当該要人を本人とする行動予定,記録などを保有している場合などをいう。
A.3.4.4.1 d) の場合とは,例えば,警察からの捜査関係事項照会又は捜査差押令状の対象となった組織が
その対応の過程で捜査対象者又は被疑者を本人とする個人データを保有している場合などをいう。
“保有個人データに該当しないが,本人から求められる利用目的の通知,開示,内容の訂正,追加又は
削除,利用の停止,消去及び第三者への提供の停止の請求などの全てに応じることができる権限を有する
個人情報”とは,組織が取得してから政令で定める期間以内に消去する個人データなどをいう。消費者な
ど,本人の権利利益保護の観点から,組織は,保有個人データ,個人データに限らず,取得した全ての個
人情報について,保有個人データと同等に取り扱うことが望ましい。
B.3.4.4.2 開示等の請求等に応じる手続
A.3.4.4.2 b) は,本人が容易かつ的確に開示等の請求等をすることができるよう,組織が当該保有個人デ
ータの特定に資する情報の提供その他本人の利便を考慮した適切な措置を講じることを求めている。
41
Q 15001:2017
A.3.4.4.2 c) については,開示等の請求等をすることができる代理人は,次の代理人である。
− 未成年者又は成年被後見人の法定代理人
− 開示等の請求等をすることにつき本人が委任した代理人
組織が,開示等の請求等を受け付ける方法を合理的な範囲で定めてある場合に,請求等を行った者がそ
れに従わなかったときは,開示等を拒否することができる。ただし,本人確認に当たっては,例えば,通
常業務においてID及びパスワードで本人確認をしているにもかかわらず,開示等の請求等に応じる手続
については,一律,運転免許証又はパスポートの呈示を求めるなど,本人に必要以上の個人情報の提供を
求めないことが望ましい。
B.3.4.4.3 保有個人データに関する事項の周知など
“本人が知り得る状態(本人の請求などに応じて遅滞なく回答する場合を含む。)”とは,ウェブ画面へ
の掲載,パンフレットの配布,本人の請求などに応じて遅滞なく回答を行うことなど,本人が知ろうと思
えば知ることができる状態に置くことをいい,組織が,常にその時点で正確な内容を本人が知り得る状態
に置くことをいう。必ずしもウェブ画面への掲載,又は事務所などの窓口などへ掲示することなどが継続
的に行われることを指すものではないが,事業の性質及び個人情報の取扱状況に応じ,内容が本人に理解
される合理的かつ適切な方法によることが望ましい。
なお,組織は,家族から開示等を求められることもあり得るため,そのような場合も含め,開示等の請
求等に対する対応方法の詳細を定めた上で,知り得る状態に置いておくことが望ましい。
B.3.4.4.5 保有個人データの開示
A.3.4.4.5 b) の“当該組織の業務の適正な実施に著しい支障を及ぼすおそれがある場合”とは,試験実施
機関において,採点情報の全てを開示することによって,試験制度の維持に著しい支障を及ぼすおそれが
ある場合,同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり,事実上問合
せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなるなど,業務上著しい支障を及ぼ
すおそれがある場合などをいう。
なお,消費者など,本人の権利利益保護の観点から,事業活動の特性,規模及び実態を考慮して,個人
情報の取得元又は取得方法(取得源の種類など)を可能な限り具体的に明記し,問合せなどがあった場合
には本人からの請求などに一層対応していくことが望ましい。
B.3.4.4.7 保有個人データの利用又は提供の拒否権
本人の同意を得た範囲内で組織が取り扱う場合でも,本人が求めた場合は,組織はそれに応じることが
望ましい。
なお,当該保有個人データの第三者への提供の停止に著しく多額の費用を要する場合,その他の第三者
への提供を停止することが困難な場合であって,本人の権利利益を保護するため必要なこれに代わるべき
措置を講じるときは,法令等によってこの限りでないとされている。
また,消費者など,本人の権利利益保護の観点から,事業活動の特性,規模及び実態を考慮して,保有
個人データについて本人から請求などがあった場合には,ダイレクトメールの発送停止など,自主的に利
用停止に応じるなど,本人からの請求などに一層対応していくことが望ましい。
B.3.4.5 認識
“認識”とは,従業者に,A.3.4.5のa)〜d) に定める事項を理解させ,自覚させ,個人情報保護体制に
おける各々の役割・権限を確実に果たすことができるようにすることをいう。
具体的には,従業者に対する教育を少なくとも年一回計画書(A.3.3.6)に基づき実施するに当たり,受
講者の理解度確認を行うこと,アンケート又は小テストを実施することなどによって従業者の理解度を把
42
Q 15001:2017
握し,必要に応じて教育内容の見直しを図ること,及び教育を受けたことを自覚させる仕組みを取り入れ
ることがA.3.4.5に適合する。
また,従業者に対する教育を実施した場合の欠席者を把握し,欠席者を対象としたフォローアップ教育
及び/又は理解度確認を行うなどの措置を講じることも,A.3.4.5に適合する。
B.3.5 文書化した情報
B.3.5.2 文書化した情報(記録を除く。)の管理
文書化した情報(記録を除く。)の管理とは,書面で記述したA.3.5.1のa)〜f) を保存し,制定・改正の
記録を残した上で,常に最新の状態で維持しておくことである。文書化した情報のうち記録は,A.3.5.3に
規定する管理策に従って管理する。また,A.3.5.1のd) では,内部規程に定める手順上で使用する様式も
合わせて管理することが求められている。
文書化した情報(記録を除く。)は,個人情報保護マネジメントシステムを構成する要素が互いにどのよ
うに関係しているか,及び特定部分の運用についての詳細な情報がどこに記述されているかを,十分に示
せる程度にあればよい。文書化した情報(記録を除く。)は,組織によって実施される他のシステムの文書
化した情報(記録を除く。)と統合してもよい。
当初は,個人情報保護マネジメントシステム以外の目的で作成した文書化した情報(記録を除く。)を,
個人情報保護マネジメントシステムの一部として使用してもよい。そのような使い方をする場合は,それ
らの文書化した情報(記録を除く。)を個人情報保護マネジメントシステムの中で参照しておくことが望ま
しい。
なお,文書化した情報(記録を除く。)の管理は,個人情報保護マネジメントシステムを確実に実施する
ための手段であって,目的ではない。手段と目的とを混同しないよう留意することが望ましい。
B.3.5.3 文書化した情報のうち記録の管理
この規格で必要とする文書化した情報のうち記録には,A.3.5.3のa)〜l) のほか,内部規程に定める手順
上で使用する様式[A.3.5.1 d)]を用いた記録がある。
A.3.5.3 g) は,A.3.4.5に基づき従業者全員に教育を実施したことの記録である。A.3.4.5のa)〜d) の事項
を従業者に理解させるに当たり,実施した事項の記録となる。よって,結果を報告する際には,単に教育
実施の結果を報告するだけではなく,教育の有効性の確認を報告することがA.3.5.3 g) に適合する。
また,“教育の実施記録”には,緊急時対応についての教育訓練の記録なども含まれる。
A.3.5.3 j) には,内部監査実施の状況のほか,問題点として把握した指摘事項と,その中で改善すべき事
項とについて区別して示すことが含まれる。
文書化した情報のうち記録は紙媒体である必要はなく,組織内において運用しやすい合理的な方法で作
成することが望ましい。A.3.5.3では組織は,必要な記録を特定し,保管,保護,保管期間及び廃棄につい
ての手順を確立し,実施し,維持することが望ましい。記録自体も個人情報である可能性があるから,と
りあえず何でも記録として残すという姿勢ではなく,その必要性を判断することが望ましい。また,文書
化した情報のうち記録は,必要なときにすぐに検証できるように維持しておくことが望ましい。
B.3.6 苦情及び相談への対応
“必要な体制の整備”とは,例えば,常設の対応窓口の設置又は担当者を任命することなどをいう。た
だし,個人情報保護管理者とは兼任をしても差し支えない。
必要な体制の整備に当たっては,JIS Q 10002(品質マネジメント−顧客満足−組織における苦情対応の
ための指針)を参考にしてもよい。
B.3.7 パフォーマンス評価
43
Q 15001:2017
B.3.7.1 運用の確認
A.3.7.1は,組織全体として実施する内部監査(A.3.7.2)と異なり,各部門及び各階層において行われる
ものである。
一連のマネジメントシステムの実施結果を受けて行うものではなく,日常業務において気付いた点(残
留リスクが顕在化していないか,リスク対策が実施できているかなど)があればそれを是正及び予防して
いくものであるため,たとえ小規模な組織であっても,運用の確認(A.3.7.1)及び内部監査(A.3.7.2)を
行うことが望ましい。
B.3.7.2 内部監査
内部監査は,組織内部からの要員によって,又は組織のために働くように外部から選んだ者によって実
施してもよい。その際,内部監査を実施する監査員には,力量があり,かつ客観的に行える立場にある者
を当てることが望ましい。
小規模な組織における個人情報保護監査責任者が監査員を兼ねる場合,監査対象となる部署と兼務して
もよい。
運用状況の内部監査に当たっては,A.3.3.3によって講ずることとした対策を,監査項目に設定して実施
することが望ましい。
“結果の報告”とは,組織のトップマネジメントに対する報告をいう。このため,結果の報告に対する
改善の指示も,組織のトップマネジメントから受けることが望ましい。改善の指示をトップマネジメント
から受けられない場合は,トップマネジメントによって権限を与えられた者の指示を受けてもよい。
B.3.7.3 マネジメントレビュー
内部監査は社内の現状のルールを前提に,それが守られているかを確認するものであり,それに基づく
改善も現状の枠内に止まるものである。A.3.7.3によるマネジメントレビューは,それに止まらず,外部環
境も考慮した上で,現状そのものを根本的に見直すことがあり得る点で,内部監査による改善とは本質的
に異なる。
常に,A.3.7.3のa)〜g) の事項をまとめて見直すという必要はない。見直しは,必要に応じて実施して
もよい。
B.3.8 是正処置
是正処置は,パフォーマンス評価の結果,緊急事態の発生及び外部機関の指摘などを通じて,不適合が
明らかになった場合に行う。
不適合の原因が特定されなければ,根本的な解決にはならず,単なるもぐらたたきの改善で終わってし
まい,再発を防げない。A.3.8 b) では,再発防止のための是正処置を立案し,A.3.1.1に基づく承認を受け,
実施することが望ましい。
是正処置を確実に実施させるために期限を区切ることは有効であるが,不適合の内容によっては,長期
にわたってもよい。不適合の内容に相応した期限を設定することが望ましい。
B.3.9 表示事項整理表
この規格における表示に関する要求事項を整理した表示事項整理表を,表B.1に示す。
注記1 要求事項として明らかなものだけを記載した。
注記2 要求事項のただし書きにおける適用除外については,記載していない。
44
Q 15001:2017
表B.1−表示事項整理表
個人情報保護方針に関する事項
外部向け個人
情報保護方針
A.3.2.2
従業者に周知させ
るとともに,一般
の人が入手可能な
措置を講ずる。
□事業の内容及び規模を考慮した適切な個人情報の取
得,利用及び提供に関すること
□個人情報の取扱いに関する法令,国が定める指針その
他の規範を遵守すること
□個人情報の漏えい,滅失又はき損の防止及び是正に関
すること
□苦情及び相談への対応に関すること
□個人情報保護マネジメントシステムの継続的改善に関
すること
□トップマネジメントの氏名
□制定年月日及び最終改正年月日
□外部向け個人情報保護方針の内容についての問合せ先
緊急事態に関する事項
漏えい,滅失
又はき損の発
生
A.3.3.7
本人に速やかに通
知するか,又は本
人が容易に知り得
る状態に置く。
□当該漏えい,滅失又はき損が発生した個人情報の内容
可能な限り遅滞な
く公表する。
□事実関係,発生原因及び対応策
個人情報の取得に関する事項
取得
A.3.4.2.4
あらかじめその利
用目的を公表して
いる場合を除き,
速やかに,本人に
通知するか,又は
公表する。
□利用目的
取得のうち本
人から直接書
面による取得
A.3.4.2.5
あらかじめ,書面
によって本人に明
示し,書面によっ
て本人の同意を得
る。
□組織の名称又は氏名
□個人情報保護管理者(若しくはその代理人)の氏名又
は職名,所属及び連絡先
□利用目的
□個人情報を第三者に提供することが予定される場合
は,
−第三者に提供する目的
−提供する個人情報の項目
−提供の手段又は方法
−当該情報の提供を受ける者又は提供を受
ける者の組織の種類,及び属性
−個人情報の取扱いに関する契約がある場
合はその旨
□個人情報の取扱いの委託を行うことが予定される場合
には,その旨
□保有個人データに関する請求等があった場合には,そ
の請求等に応じる旨及び問合せ窓口
□本人が個人情報を与えることの任意性及び当該情報を
与えなかった場合に本人に生じる結果
□本人が容易に知覚できない方法によって個人情報を取
得する場合には,その旨
45
Q 15001:2017
表B.1−表示事項整理表(続き)
個人情報の利用に関する事項
目的外利用
A.3.4.2.6
あらかじめ,本人
に通知し,本人の
同意を得る。
□組織の名称又は氏名
□個人情報保護管理者(若しくはその代理人)の氏名又
は職名,所属及び連絡先
□利用目的
□個人情報を第三者に提供することが予定される場合
は,
−第三者に提供する目的
−提供する個人情報の項目
−提供の手段又は方法
−当該情報の提供を受ける者又は提供を受
ける者の組織の種類,及び属性
−個人情報の取扱いに関する契約がある場
合はその旨
□個人情報の取扱いの委託を行うことが予定される場合
には,その旨
□保有個人データに関する請求等があった場合には,そ
の請求等に応じる旨及び問合せ窓口
本人への連絡
又は接触
A.3.4.2.7
本人に対して通知
し,本人の同意を
得る。
□組織の名称又は氏名
□個人情報保護管理者(若しくはその代理人)の氏名又
は職名,所属及び連絡先
□利用目的
□個人情報を第三者に提供することが予定される場合
は,
−第三者に提供する目的
−提供する個人情報の項目
−提供の手段又は方法
−当該情報の提供を受ける者又は提供を受
ける者の組織の種類,及び属性
−個人情報の取扱いに関する契約がある場
合はその旨
□個人情報の取扱いの委託を行うことが予定される場合
には,その旨
□保有個人データに関する請求等があった場合には,そ
の請求等に応じる旨及び問合せ窓口
□取得方法[取得源の種類及び取得経緯(B.3.4.2.7参照)]
46
Q 15001:2017
表B.1−表示事項整理表(続き)
個人データの提供に関する事項
第三者への提
供
A.3.4.2.8
あらかじめ,本人
に対して通知し,
本人の同意を得
る。
□組織の名称又は氏名
□個人情報保護管理者(若しくはその代理人)の氏名又
は職名,所属及び連絡先
□利用目的
□個人データを第三者に提供することが予想される場合
は,
−第三者に提供する目的
−提供する個人情報の項目
−提供の手段又は方法
−当該情報の提供を受ける者又は提供を受
ける者の組織の種類,及び属性
−個人情報の取扱いに関する契約がある場
合はその旨
□取得方法
共同利用に関する事項
共同利用に関
する事項の通
知など
A.3.4.2.7及び
A.3.4.2.8
本人に通知するか
又は本人が容易に
知り得る状態に置
く
□共同して利用すること
□共同して利用される個人情報の項目
□共同して利用する者の範囲
□共同して利用する者の利用目的
□共同して利用する個人情報の管理について責任を有す
る者の氏名又は名称
□取得方法
A.3.4.2.8 b) による個人データの第三者提供に関する事項
A.3.4.2.8 b)
による第三者
提供に関する
事項の通知な
ど
A.3.4.2.8
本人に通知するか
又は本人が容易に
知り得る状態に置
く
□第三者提供を利用目的とすること
□第三者に提供される個人データの項目
□第三者への提供の手段又は方法
□本人の請求などに応じて当該本人が識別される個人デ
ータの第三者への提供を停止すること
□取得方法
□本人からの請求などを受け付ける方法
47
Q 15001:2017
表B.1−表示事項整理表(続き)
保有個人データに関する事項
保有個人デー
タに関する事
項の周知
A.3.4.4.3
本人の知り得る状
態(本人の請求な
どに応じて遅滞な
く回答する場合を
含む。)に置く。
□組織の氏名又は名称
□個人情報保護管理者(若しくはその代理人)の氏名又
は職名,所属及び連絡先
□全ての保有個人データの利用目的[A.3.4.2.4のa)〜c)
までに該当する場合を除く。]
□保有個人データの取扱いに関する苦情の申出先
□認定個人情報保護団体の対象事業者である場合にあっ
ては,当該認定個人情報保護団体の名称及び苦情の解決
の申出先
□開示等の請求等の申出先
□開示等の請求等に際して提出すべき書面の様式その他
の開示等の請求等の方式
□開示等の請求等をする者が,本人又は代理人であるこ
との確認の方法
□本人から,利用目的の通知又は保有個人データの開示
の請求などをされた場合の手数料(定めた場合に限る。)
の徴収方法
保有個人デー
タの利用目的
の通知
A.3.4.4.4
本人に遅滞なく通
知する。
□利用目的
本人に遅滞なく通
知するとともに,
理由を説明する。
□利用目的の通知をしないときは,その旨
保有個人デー
タの開示(存
在しない場合
にその旨を知
らせることを
含む。)
A.3.4.4.5
法令の規定によっ
て特別の手続が定
められている場合
を除き,本人に対
し,遅滞なく書面
(開示の請求を行
った者が同意した
方法があるとき
は,当該方法)に
よって開示する。
□当該保有個人データ(存在しないときは,その旨)
本人に遅滞なく通
知するとともに,
理由を説明する。
□全部又は一部を開示しないときは,その旨
保有個人デー
タの訂正,追
加又は削除
(訂正等)
A.3.4.4.6
本人に対し,遅滞
なく通知する。
□訂正等を行ったときは,その旨及びその内容
□訂正等を行わない旨の決定をしたときは,その旨及び
その理由
保有個人デー
タの利用の停
止,消去又は
第三者への提
供の停止(利
用停止等)
A.3.4.4.7
本人に遅滞なく通
知する。
□措置を講じた後は,その旨
本人に遅滞なく通
知するとともに,
理由を説明する。
□利用停止等を行わないときは,その旨
48
Q 15001:2017
附属書C
(参考)
安全管理措置に関する管理目的及び管理策
表C.1に規定した管理目的及び管理策は,この規格のA.3.4.3.2の安全管理措置に関する管理目的及び管
理策の包括的なリストであり,JIS Q 27002:2014の箇条5〜箇条18を基に作成したものである。この管理
策は,リスク分析[6.1.2 d)]の結果を踏まえて安全管理措置としての個人情報に係る情報セキュリティを
決定する際に適宜選択して利用することができる。
附属書Cにおいて,“個人情報”とは,組織が,自らの事業の用に供している個人情報を意味する。
C.5〜C.18において,
“個人情報セキュリティ”とは,個人情報に係る情報セキュリティを意味し,
“個人情報処理施設”とは,個人情報に係る情報処理施設を意味し,
“個人情報分類体系”とは,個人情報に係る情報分類体系を意味し,
“個人情報アクセス制御方針”とは,個人情報に係る情報アクセス制御方針を意味し,
“個人情報処理設備”とは,個人情報に係る情報処理設備を意味し,
“個人情報セキュリティ事象”とは,個人情報に係る情報セキュリティ事象を意味し,
“個人情報処理システム”とは,個人情報に係る情報処理システムを意味し,
“個人情報システム”とは,個人情報に係る情報システムを意味し,
“個人情報セキュリティ要求事項”とは,個人情報に係る情報セキュリティ要求事項を意味し,
“個人情報セキュリティリスク”とは,個人情報に係る情報セキュリティリスクを意味し,
“個人情報セキュリティインシデント”とは,個人情報に係る情報セキュリティインシデントを意味し,
“個人情報セキュリティ継続”とは,個人情報に係る情報セキュリティ継続を意味し,
“個人情報セキュリティマネジメント”とは,個人情報に係る情報セキュリティマネジメントを意味す
る。
49
Q 15001:2017
表C.1−管理目的及び管理策
C.5 個人情報セキュリティのための方針群
C.5.1 個人情報セキュリティのための経営陣の方向性
目的 個人情報セキュリティのための経営陣の方向性及び支持を,事業上の要求事項並びに関連する法令及び規制
に従って提示するため。
C.5.1.1
個人情報セキュリティ
のための方針群
管理策
個人情報セキュリティのための方針群は,これを定義し,管理層が承認し,
発行し,従業員及び関連する外部関係者に通知することが望ましい。
注記 管理層には,経営陣及び管理者が含まれる。ただし,実務管理者
は除かれる。
C.5.1.2
個人情報セキュリティ
のための方針群のレビ
ュー
管理策
個人情報セキュリティのための方針群は,あらかじめ定めた間隔で,又は
重大な変化が発生した場合に,それが引き続き適切,妥当かつ有効である
ことを確実にするためにレビューすることが望ましい。
C.6 個人情報セキュリティのための組織
C.6.1 内部組織
目的 組織内で個人情報セキュリティの実施及び運用に着手し,これを統制するための管理上の枠組みを確立する
ため。
C.6.1.1
個人情報セキュリティ
の役割及び責任
管理策
全ての個人情報セキュリティの責任を定め,割り当てることが望ましい。
C.6.1.2
職務の分離
管理策
相反する職務及び責任範囲は,組織の資産に対する,認可されていない又
は意図しない変更又は不正使用の危険性を低減するために,分離すること
が望ましい。
C.6.1.3
関係当局との連絡
管理策
関係当局との適切な連絡体制を維持することが望ましい。
C.6.1.4
専門組織との連絡
管理策
個人情報セキュリティに関する研究会又は会議,及び個人情報セキュリテ
ィの専門家による協会・団体との適切な連絡体制を維持することが望まし
い。
C.6.1.5
プロジェクトマネジメ
ントにおける個人情報
セキュリティ
管理策
プロジェクトの種類にかかわらず,プロジェクトマネジメントにおいて
は,個人情報セキュリティに取り組むことが望ましい。
C.6.2 モバイル機器及びテレワーキング
目的 モバイル機器の利用及びテレワーキングに関するセキュリティを確実にするため。
C.6.2.1
モバイル機器の方針
管理策
モバイル機器を用いることによって生じるリスクを管理するために,方針
及びその方針を支援するセキュリティ対策を採用することが望ましい。
C.6.2.2
テレワーキング
管理策
テレワーキングの場所でアクセス,処理及び保存される個人情報を保護す
るために,方針及びその方針を支援するセキュリティ対策を実施すること
が望ましい。
50
Q 15001:2017
表C.1−管理目的及び管理策(続き)
C.7 人的資源のセキュリティ
C.7.1 雇用前
目的 従業員及び契約相手がその責任を理解し,求められている役割にふさわしいことを確実にするため。
C.7.1.1
選考
管理策
全ての従業員候補者についての経歴などの確認は,関連する法令,規制及
び倫理に従って行うことが望ましい。また,この確認は,事業上の要求事
項,アクセスされる個人情報の分類及び認識されたリスクに応じて行うこ
とが望ましい。
C.7.1.2
雇用条件
管理策
従業員及び契約相手との雇用契約書には,個人情報セキュリティに関する
各自の責任及び組織の責任を記載することが望ましい。
C.7.2 雇用期間中
目的 従業員及び契約相手が,個人情報セキュリティの責任を認識し,かつ,その責任を遂行することを確実にす
るため。
C.7.2.1
経営陣の責任
管理策
経営陣は,組織の確立された方針及び手順に従った個人情報セキュリティ
の適用を,全ての従業員及び契約相手に要求することが望ましい。
C.7.2.2
個人情報セキュリティ
の意識向上,教育及び訓
練
管理策
組織の全ての従業員,及び関係する場合には契約相手は,個人情報に係る
職務に関連する組織の方針及び手順についての,適切な,意識向上のため
の教育及び訓練を受け,また,定めに従ってその更新を受けることが望ま
しい。
C.7.2.3
懲戒手続
管理策
個人情報に係る情報セキュリティ違反を犯した従業員に対して処置をと
るための,正式かつ周知された懲戒手続を備えることが望ましい。
C.7.3 雇用の終了及び変更
目的 雇用の終了又は変更のプロセスの一部として,組織の利益を保護するため。
C.7.3.1
雇用の終了又は変更に
関する責任
管理策
雇用の終了又は変更の後もなお有効な個人情報セキュリティに関する責
任及び義務を定め,その従業員又は契約相手に伝達し,かつ,遂行させる
ことが望ましい。
C.8 資産の管理
C.8.1 資産に対する責任
目的 組織の個人情報に係る資産を特定し,適切な保護の責任を定めるため。
C.8.1.1
資産目録
管理策
個人情報,個人情報に関連するその他の資産及び個人情報処理施設を特定
することが望ましい。また,これらの資産の目録を,作成し,維持するこ
とが望ましい。
C.8.1.2
資産の管理責任a)
管理策
目録の中で維持される資産は,管理されることが望ましい。
注a) 6.1.2及び6.1.3では,個人情報セキュリティのリスクを運用管理することについて,責任及び
権限をもつ人又は主体をリスク所有者としている。個人情報セキュリティにおいて,多くの場
合,資産の管理責任を負う者は,リスク所有者でもある。
C.8.1.3
資産利用の許容範囲
管理策
個人情報の利用の許容範囲,並びに個人情報及び個人情報処理施設と関連
する資産の利用の許容範囲に関する規則は,明確にし,文書化し,実施す
ることが望ましい。
51
Q 15001:2017
表C.1−管理目的及び管理策(続き)
C.8.1.4
資産の返却
管理策
全ての従業員及び外部の利用者は,雇用,契約又は合意の終了時に,自ら
が所持する組織の個人情報に係る資産の全てを返却することが望ましい。
C.8.2 個人情報に係る情報分類
目的 組織に対する個人情報の重要性に応じて,個人情報の適切なレベルでの保護を確実にするため。
C.8.2.1
個人情報の分類
管理策
個人情報は,法的要求事項,価値,重要性,及び認可されていない開示又
は変更に対して取扱いに慎重を要する度合いの観点から,分類することが
望ましい。
C.8.2.2
個人情報のラベル付け
管理策
個人情報のラベル付けに関する適切な一連の手順は,組織が採用した個人
情報分類体系に従って策定し,実施することが望ましい。
C.8.2.3
個人情報に係る資産の
取扱い
管理策
個人情報に係る資産の取扱いに関する手順は,組織が採用した個人情報分
類体系に従って策定し,実施することが望ましい。
C.8.3 媒体の取扱い
目的 媒体に保存された個人情報の認可されていない開示,変更,除去又は破壊を防止するため。
C.8.3.1
取外し可能な媒体の管
理
管理策
組織が採用した個人情報分類体系に従って,取外し可能な媒体の管理のた
めの手順を実施することが望ましい。
C.8.3.2
媒体の処分
管理策
媒体が不要になった場合は,正式な手順を用いて,セキュリティを保って
処分することが望ましい。
C.8.3.3
物理的媒体の輸送
管理策
個人情報を格納した媒体は,輸送の途中における,認可されていないアク
セス,不正使用又は破損から保護することが望ましい。
C.9 アクセス制御
C.9.1 アクセス制御に対する業務上の要求事項
目的 個人情報及び個人情報処理施設へのアクセスを制限するため。
C.9.1.1
個人情報アクセス制御
方針
管理策
個人情報アクセス制御方針は,業務及び個人情報セキュリティの要求事項
に基づいて確立し,文書化し,レビューすることが望ましい。
C.9.1.2
ネットワーク及びネッ
トワークサービスへの
アクセス
管理策
利用することを特別に認可したネットワーク及びネットワークサービス
へのアクセスだけを,利用者に提供することが望ましい。
C.9.2 利用者アクセスの管理
目的 システム及びサービスへの,認可された利用者のアクセスを確実にし,認可されていないアクセスを防止す
るため。
C.9.2.1
利用者登録及び登録削
除
管理策
アクセス権の割当てを可能にするために,利用者の登録及び登録削除につ
いての正式なプロセスを実施することが望ましい。
C.9.2.2
利用者アクセスの提供
管理策
全ての種類の利用者について,全てのシステム及びサービスへのアクセス
権を割り当てる又は無効化するために,利用者アクセスの提供についての
正式なプロセスを実施することが望ましい。
C.9.2.3
特権的アクセス権の管
理
管理策
特権的アクセス権の割当て及び利用は,制限し,管理することが望ましい。
52
Q 15001:2017
表C.1−管理目的及び管理策(続き)
C.9.2.4
利用者の秘密認証情報
の管理
管理策
秘密認証情報の割当ては,正式な管理プロセスによって管理することが望
ましい。
C.9.2.5
利用者アクセス権のレ
ビュー
管理策
個人情報に係る資産の管理責任者は,利用者のアクセス権を定められた間
隔でレビューすることが望ましい。
C.9.2.6
アクセス権の削除又は
修正
管理策
全ての従業員及び外部の利用者の個人情報及び個人情報処理施設に対す
るアクセス権は,雇用,契約又は合意の終了時に削除し,また,変更に合
わせて修正することが望ましい。
C.9.3 利用者の責任
目的 利用者に対して,自らの秘密認証情報を保護する責任をもたせるため。
C.9.3.1
秘密認証情報の利用
管理策
秘密認証情報の利用時に,組織の慣行に従うことを,利用者に要求するこ
とが望ましい。
C.9.4 システム及びアプリケーションのアクセス制御
目的 システム及びアプリケーションへの,認可されていないアクセスを防止するため。
C.9.4.1
個人情報へのアクセス
制限
管理策
個人情報及びアプリケーションシステム機能へのアクセスは,個人情報ア
クセス制御方針に従って,制限することが望ましい。
C.9.4.2
セキュリティに配慮し
たログオン手順
管理策
個人情報アクセス制御方針で求められている場合には,システム及びアプ
リケーションへのアクセスは,セキュリティに配慮したログオン手順によ
って制御することが望ましい。
C.9.4.3
パスワード管理システ
ム
管理策
パスワード管理システムは,対話式とすることが望ましく,また,良質な
パスワードを確実とするものが望ましい。
C.9.4.4
特権的なユーティリテ
ィプログラムの使用
管理策
システム及びアプリケーションによる制御を無効にすることのできるユ
ーティリティプログラムの使用は,制限し,厳しく管理することが望まし
い。
C.9.4.5
プログラムソースコー
ドへのアクセス制御
管理策
プログラムソースコードへのアクセスは,制限することが望ましい。
C.10 暗号
C.10.1 暗号による管理策
目的 個人情報の機密性,真正性及び/又は完全性を保護するために,暗号の適切かつ有効な利用を確実にするた
め。
C.10.1.1
暗号による管理策の利
用方針
管理策
個人情報を保護するための暗号による管理策の利用に関する方針は,策定
し,実施することが望ましい。
C.10.1.2
鍵管理
管理策
暗号鍵の利用,保護及び有効期間に関する方針を策定し,そのライフサイ
クル全体にわたって実施することが望ましい。
53
Q 15001:2017
表C.1−管理目的及び管理策(続き)
C.11 物理的及び環境的セキュリティ
C.11.1 セキュリティを保つべき領域
目的 組織の個人情報及び個人情報処理施設に対する認可されていない物理的アクセス,損傷及び妨害を防止する
ため。
C.11.1.1
物理的セキュリティ境
界
管理策
取扱いに慎重を要する又は重要な個人情報及び個人情報処理施設のある
領域を保護するために,物理的セキュリティ境界を定め,かつ,用いるこ
とが望ましい。
C.11.1.2
物理的入退管理策
管理策
セキュリティを保つべき領域は,認可された者だけにアクセスを許すこと
を確実にするために,適切な入退管理策によって保護することが望まし
い。
C.11.1.3
オフィス,部屋及び施設
のセキュリティ
管理策
オフィス,部屋及び施設に対する物理的セキュリティを設計し,適用する
ことが望ましい。
C.11.1.4
外部及び環境の脅威か
らの保護
管理策
自然災害,悪意のある攻撃又は事故に対する物理的な保護を設計し,適用
することが望ましい。
C.11.1.5
セキュリティを保つべ
き領域での作業
管理策
セキュリティを保つべき領域での作業に関する手順を設計し,適用するこ
とが望ましい。
C.11.1.6
受渡場所
管理策
荷物の受渡場所などの立寄り場所,及び認可されていない者が施設に立ち
入ることもあるその他の場所は,管理することが望ましい。また,可能な
場合には,認可されていないアクセスを避けるために,それらの場所を個
人情報処理施設から離すことが望ましい。
C.11.2 装置
目的 個人情報に係る資産の損失,損傷,盗難又は劣化,及び組織の業務に対する妨害を防止するため。
C.11.2.1
装置の設置及び保護
管理策
装置は,環境上の脅威及び災害からのリスク並びに認可されていないアク
セスの機会を低減するように設置し,保護することが望ましい。
C.11.2.2
サポートユーティリテ
ィ
管理策
装置は,サポートユーティリティの不具合による,停電,その他の故障か
ら保護することが望ましい。
C.11.2.3
ケーブル配線のセキュ
リティ
管理策
データを伝送する又は情報サービスをサポートする通信ケーブル及び電
源ケーブルの配線は,傍受,妨害又は損傷から保護することが望ましい。
C.11.2.4
装置の保守
管理策
装置は,可用性及び完全性を継続的に維持することを確実にするために,
正しく保守することが望ましい。
C.11.2.5
資産の移動
管理策
装置,情報又はソフトウェアは,事前の認可なしでは,構外に持ち出さな
いことが望ましい。
C.11.2.6
構外にある装置及び資
産のセキュリティ
管理策
構外にある資産に対しては,構外での作業に伴った,構内での作業とは異
なるリスクを考慮に入れて,セキュリティを適用することが望ましい。
54
Q 15001:2017
表C.1−管理目的及び管理策(続き)
C.11.2.7
装置のセキュリティを
保った処分又は再利用
管理策
記憶媒体を内蔵した全ての装置は,処分又は再利用する前に,全ての取扱
いに慎重を要するデータ及びライセンス供与されたソフトウェアを消去
していること,又はセキュリティを保って上書きしていることを確実にす
るために,検証することが望ましい。
C.11.2.8
無人状態にある利用者
装置
管理策
利用者は,無人状態にある装置が適切な保護対策を備えていることを確実
にすることが望ましい。
C.11.2.9
クリアデスク・クリアス
クリーン方針
管理策
書類及び取外し可能な記憶媒体に対するクリアデスク方針,並びに個人情
報処理設備に対するクリアスクリーン方針を適用することが望ましい。
注記 クリアデスクとは,机上に書類を放置しないことをいう。また,
クリアスクリーンとは,情報をスクリーンに残したまま離席しな
いことをいう。
C.12 運用のセキュリティ
C.12.1 運用の手順及び責任
目的 個人情報処理設備の正確かつセキュリティを保った運用を確実にするため。
C.12.1.1
操作手順書
管理策
操作手順は,文書化し,必要とする全ての利用者に対して利用可能にする
ことが望ましい。
C.12.1.2
変更管理
管理策
個人情報セキュリティに影響を与える,組織,業務プロセス,個人情報処
理設備及びシステムの変更は,管理することが望ましい。
C.12.1.3
容量・能力の管理
管理策
要求されたシステム性能を満たすことを確実にするために,資源の利用を
監視・調整し,また,将来必要とする容量・能力を予測することが望まし
い。
C.12.1.4
開発環境,試験環境及び
運用環境の分離
管理策
開発環境,試験環境及び運用環境は,運用環境への認可されていないアク
セス又は変更によるリスクを低減するために,分離することが望ましい。
C.12.2 マルウェアからの保護
目的 個人情報及び個人情報処理施設がマルウェアから保護されることを確実にするため。
C.12.2.1
マルウェアに対する管
理策
管理策
マルウェアから保護するために,利用者に適切に認識させることと併せ
て,検出,予防及び回復のための管理策を実施することが望ましい。
C.12.3 バックアップ
目的 個人情報の消失から保護するため。
C.12.3.1
情報のバックアップ
管理策
個人情報,ソフトウェア及びシステムイメージのバックアップは,合意さ
れたバックアップ方針に従って定期的に取得し,検査することが望まし
い。
C.12.4 ログ取得及び監視
目的 個人情報に係るイベントを記録し,証拠を作成するため。
C.12.4.1
イベントログ取得
管理策
利用者の活動,例外処理,過失及び個人情報セキュリティ事象を記録した
イベントログを取得し,保持し,定期的にレビューすることが望ましい。
C.12.4.2
ログ情報の保護
管理策
ログ機能及びログ情報は,改ざん及び認可されていないアクセスから保護
することが望ましい。
55
Q 15001:2017
表C.1−管理目的及び管理策(続き)
C.12.4.3
実務管理者及び運用担
当者の作業ログ
管理策
システムの実務管理者及び運用担当者の作業は,記録し,そのログを保護
し,定期的にレビューすることが望ましい。
C.12.4.4
クロックの同期
管理策
組織又はセキュリティ領域内の関連する全ての個人情報処理システムの
クロックは,単一の参照時刻源と同期させることが望ましい。
C.12.5 運用ソフトウェアの管理
目的 個人情報に係る運用システムの完全性を確実にするため。
C.12.5.1
個人情報に係る運用シ
ステムに関わるソフト
ウェアの導入
管理策
個人情報に係る運用システムに関わるソフトウェアの導入を管理するた
めの手順を実施することが望ましい。
C.12.6 技術的ぜい弱性管理
目的 技術的ぜい弱性の悪用を防止するため。
C.12.6.1
技術的ぜい弱性の管理
管理策
利用中の個人情報システムの技術的ぜい弱性に関する情報は,時機を失せ
ずに獲得することが望ましい。また,そのようなぜい弱性に組織がさらさ
れている状況を評価することが望ましい。さらに,それらと関連するリス
クに対処するために,適切な手段をとることが望ましい。
C.12.6.2
ソフトウェアのインス
トールの制限
管理策
利用者によるソフトウェアのインストールを管理する規則を確立し,実施
することが望ましい。
C.12.7 個人情報システムの監査に対する考慮事項
目的 個人情報に係る運用システムに対する監査活動の影響を最小限にするため。
C.12.7.1
個人情報システムの監
査に対する管理策
管理策
個人情報に係る運用システムの検証を伴う監査要求事項及び監査活動は,
業務プロセスの中断を最小限に抑えるために,慎重に計画し,合意するこ
とが望ましい。
C.13 通信のセキュリティ
C.13.1 ネットワークセキュリティ管理
目的 ネットワークにおける個人情報の保護,及びネットワークを支える個人情報処理施設の保護を確実にするた
め。
C.13.1.1
ネットワーク管理策
管理策
システム及びアプリケーション内の個人情報を保護するために,ネットワ
ークを管理し,制御することが望ましい。
C.13.1.2
ネットワークサービス
のセキュリティ
管理策
組織が自ら提供するか外部委託しているかを問わず,全てのネットワーク
サービスについて,セキュリティ機能,サービスレベル及び管理上の要求
事項を特定し,また,ネットワークサービス合意書にもこれらを盛り込む
ことが望ましい。
C.13.1.3
ネットワークの分離
管理策
情報サービス,利用者及び個人情報システムは,ネットワーク上で,グル
ープごとに分離することが望ましい。
C.13.2 個人情報の転送
目的 組織の内部及び外部に転送した個人情報のセキュリティを維持するため。
C.13.2.1
個人情報転送の方針及
び手順
管理策
あらゆる形式の通信設備を利用した個人情報転送を保護するために,正式
な転送方針,手順及び管理策を備えることが望ましい。
56
Q 15001:2017
表C.1−管理目的及び管理策(続き)
C.13.2.2
個人情報転送に関する
合意
管理策
合意では,組織と外部関係者との間の個人情報に係る業務情報のセキュリ
ティを保った転送について,取り扱うことが望ましい。
C.13.2.3
電子的メッセージ通信
管理策
電子的メッセージ通信に含まれた個人情報は,適切に保護することが望ま
しい。
C.13.2.4
秘密保持契約又は守秘
義務契約
管理策
個人情報保護に対する組織の要件を反映する秘密保持契約又は守秘義務
契約のための要求事項は,特定し,定めに従ってレビューし,文書化する
ことが望ましい。
C.14 個人情報システムの取得,開発及び保守
C.14.1 個人情報システムのセキュリティ要求事項
目的 ライフサイクル全体にわたって,個人情報セキュリティが個人情報システムに欠くことのできない部分であ
ることを確実にするため。これには,公衆ネットワークを介してサービスを提供する個人情報システムのための要
求事項も含む。
C.14.1.1
個人情報セキュリティ
要求事項の分析及び仕
様化
管理策
個人情報セキュリティに関連する要求事項は,新しい個人情報システム又
は既存の個人情報システムの改善に関する要求事項に含めることが望ま
しい。
C.14.1.2
公衆ネットワーク上の
アプリケーションサー
ビスのセキュリティの
考慮
管理策
公衆ネットワークを経由するアプリケーションサービスに含まれる個人
情報は,不正行為,契約紛争,並びに認可されていない開示及び変更から
保護することが望ましい。
C.14.1.3
アプリケーションサー
ビスのトランザクショ
ンの保護
管理策
アプリケーションサービスのトランザクションに含まれる個人情報は,次
の事項を未然に防止するために,保護することが望ましい。
− 不完全な通信
− 誤った通信経路設定
− 認可されていないメッセージの変更
− 認可されていない開示
− 認可されていないメッセージの複製又は再生
C.14.2 開発及びサポートプロセスにおけるセキュリティ
目的 個人情報システムの開発サイクルの中で個人情報セキュリティを設計し,実施することを確実にするため。
C.14.2.1
セキュリティに配慮し
た開発のための方針
管理策
ソフトウェア及びシステムの開発のための規則は,組織内において確立
し,開発に対して適用することが望ましい。
C.14.2.2
システムの変更管理手
順
管理策
開発のライフサイクルにおけるシステムの変更は,正式な変更管理手順を
用いて管理することが望ましい。
C.14.2.3
オペレーティングプラ
ットフォーム変更後の
アプリケーションの技
術的レビュー
管理策
オペレーティングプラットフォームを変更するときは,組織の運用又はセ
キュリティに悪影響がないことを確実にするために,重要なアプリケーシ
ョンをレビューし,試験することが望ましい。
C.14.2.4
パッケージソフトウェ
アの変更に対する制限
管理策
パッケージソフトウェアの変更は,抑止し,必要な変更だけに限ることが
望ましい。また,全ての変更は,厳重に管理することが望ましい。
57
Q 15001:2017
表C.1−管理目的及び管理策(続き)
C.14.2.5
セキュリティに配慮し
たシステム構築の原則
管理策
セキュリティに配慮したシステムを構築するための原則を確立し,文書化
し,維持し,全ての個人情報システムの実装に対して適用することが望ま
しい。
C.14.2.6
セキュリティに配慮し
た開発環境
管理策
組織は,全ての個人情報に係るシステム開発ライフサイクルを含む,シス
テムの開発及び統合の取組みのためのセキュリティに配慮した開発環境
を確立し,適切に保護することが望ましい。
C.14.2.7
外部委託による開発
管理策
組織は,外部委託した個人情報に係るシステム開発活動を監督し,監視す
ることが望ましい。
C.14.2.8
システムセキュリティ
の試験
管理策
個人情報に係るセキュリティ機能の試験は,開発期間中に実施することが
望ましい。
C.14.2.9
システムの受入れ試験
管理策
新しい個人情報システム,及びその改訂版・更新版のために,受入れ試験
のプログラム及び関連する基準を確立することが望ましい。
C.14.3 試験データ
目的 試験に用いる個人情報の保護を確実にするため。
C.14.3.1
試験データの保護
管理策
試験データは,注意深く選定し,保護し,管理することが望ましい。
C.15 供給者関係
C.15.1 供給者関係における個人情報セキュリティ
目的 供給者がアクセスできる組織の個人情報に係る資産の保護を確実にするため。
C.15.1.1
供給者関係のための個
人情報セキュリティの
方針
管理策
組織の個人情報に係る資産に対する供給者のアクセスに関連するリスク
を軽減するための個人情報セキュリティ要求事項について,供給者と合意
し,文書化することが望ましい。
C.15.1.2
供給者との合意におけ
るセキュリティの取扱
い
管理策
関連する全ての個人情報セキュリティ要求事項を確立し,組織の個人情報
に対して,アクセス,処理,保存若しくは通信を行う,又は組織の情報の
ためのIT基盤を提供する可能性のあるそれぞれの供給者と,この要求事
項について合意することが望ましい。
C.15.1.3
ICTサプライチェーン
管理策
供給者との合意には,情報通信技術(以下,ICTという。)サービス及び
製品のサプライチェーンに関連する個人情報セキュリティリスクに対処
するための要求事項を含めることが望ましい。
C.15.2 供給者のサービス提供の管理
目的 供給者との合意に沿って,個人情報セキュリティ及びサービス提供について合意したレベルを維持するため。
C.15.2.1
供給者のサービス提供
の監視及びレビュー
管理策
組織は,供給者のサービス提供を定常的に監視し,レビューし,監査する
ことが望ましい。
C.15.2.2
供給者のサービス提供
の変更に対する管理
管理策
関連する業務情報,業務システム及び業務プロセスの重要性,並びにリス
クの再評価を考慮して,供給者によるサービス提供の変更(現行の個人情
報セキュリティの方針群,手順及び管理策の保守及び改善を含む。)を管
理することが望ましい。
58
Q 15001:2017
表C.1−管理目的及び管理策(続き)
C.16 個人情報セキュリティインシデント管理
C.16.1 個人情報セキュリティインシデントの管理及びその改善
目的 セキュリティ事象及びセキュリティ弱点に関する伝達を含む,個人情報セキュリティインシデントの管理の
ための,一貫性のある効果的な取組みを確実にするため。
C.16.1.1
責任及び手順
管理策
個人情報セキュリティインシデントに対する迅速,効果的かつ順序だった
対応を確実にするために,管理層の責任及び手順を確立することが望まし
い。
C.16.1.2
個人情報セキュリティ
事象の報告
管理策
個人情報セキュリティ事象は,適切な管理者への連絡経路を通して,でき
るだけ速やかに報告することが望ましい。
C.16.1.3
個人情報に係るセキュ
リティ弱点の報告
管理策
組織の個人情報システム及びサービスを利用する従業員及び契約相手に,
システム又はサービスの中で発見した又は疑いをもった個人情報に係る
情報セキュリティ弱点は,どのようなものでも記録し,報告するように要
求することが望ましい。
C.16.1.4
個人情報セキュリティ
事象の評価及び決定
管理策
個人情報セキュリティ事象は,これを評価し,個人情報セキュリティイン
シデントに分類するか否かを決定することが望ましい。
C.16.1.5
個人情報セキュリティ
インシデントへの対応
管理策
個人情報セキュリティインシデントは,文書化した手順に従って対応する
ことが望ましい。
C.16.1.6
個人情報セキュリティ
インシデントからの学
習
管理策
個人情報セキュリティインシデントの分析及び解決から得られた知識は,
インシデントが将来起こる可能性又はその影響を低減するために用いる
ことが望ましい。
C.16.1.7
証拠の収集
管理策
組織は,証拠となり得る情報の特定,収集,取得及び保存のための手順を
定め,適用することが望ましい。
C.17 事業継続マネジメントにおける個人情報セキュリティの側面
C.17.1 個人情報セキュリティ継続
目的 個人情報セキュリティ継続を組織の事業継続マネジメントシステムに組み込むことが望ましい。
C.17.1.1
個人情報セキュリティ
継続の計画
管理策
組織は,困難な状況(例えば,危機又は災害)における,個人情報セキュ
リティ及び個人情報セキュリティマネジメントの継続のための要求事項
を決定することが望ましい。
C.17.1.2
個人情報セキュリティ
継続の実施
管理策
組織は,困難な状況の下で個人情報セキュリティ継続に対する要求レベル
を確実にするための,プロセス,手順及び管理策を確立し,文書化し,実
施し,維持することが望ましい。
C.17.1.3
個人情報セキュリティ
継続の検証,レビュー及
び評価
管理策
確立及び実施した個人情報セキュリティ継続のための管理策が,困難な状
況の下で妥当かつ有効であることを確実にするために,組織は,定められ
た間隔でこれらの管理策を検証することが望ましい。
C.17.2 冗長性
目的 個人情報処理施設の可用性を確実にするため。
C.17.2.1
個人情報処理施設の可
用性
管理策
個人情報処理施設は,可用性の要求事項を満たすのに十分な冗長性をもっ
て,導入することが望ましい。
59
Q 15001:2017
表C.1−管理目的及び管理策(続き)
C.18 遵守
C.18.1 法的及び契約上の要求事項の遵守
目的 個人情報セキュリティに関連する法的,規制又は契約上の義務に対する違反,及びセキュリティ上のあらゆ
る要求事項に対する違反を避けるため。
C.18.1.1
適用法令及び契約上の
要求事項の特定
管理策
個人情報に係る各情報システム及び組織について,全ての関連する法令,
規制及び契約上の要求事項,並びにこれらの要求事項を満たすための組織
の取組みを,明確に特定し,文書化し,また,最新に保つことが望ましい。
C.18.1.2
知的財産権
管理策
知的財産権及び権利関係のあるソフトウェア製品の利用に関連する,法
令,規制及び契約上の要求事項の遵守を確実にするための適切な手順を実
施することが望ましい。
C.18.1.3
記録の保護
管理策
個人情報に係る記録は,法令,規制,契約及び事業上の要求事項に従って,
消失,破壊,改ざん,認可されていないアクセス及び不正な流出から保護
することが望ましい。
C.18.1.4
プライバシーの保護
管理策
プライバシーの保護は,関連する指針その他の規範が適用される場合に
は,その要求に従って確実にすることが望ましい。
注記 JIS Q 27002:2014の18.1.4では,個人を特定できる情報(PII)の
保護における法令及び規制が適用される場合の要求に従うこと
を含めているが,それについては,この規格では附属書Aで求
めている。
C.18.1.5
暗号化機能に対する規
制
管理策
暗号化機能は,関連する全ての協定,法令及び規制を遵守して用いること
が望ましい。
C.18.2 個人情報セキュリティのレビュー
目的 組織の方針及び手順に従って個人情報セキュリティが実施され,運用されることを確実にするため。
C.18.2.1
個人情報セキュリティ
の独立したレビュー
管理策
個人情報セキュリティ及びその実施の管理(例えば,個人情報セキュリテ
ィのための管理目的,管理策,方針,プロセス,手順)に対する組織の取
組みについて,あらかじめ定めた間隔で,又は重大な変化が生じた場合に,
独立したレビューを実施することが望ましい。
C.18.2.2
個人情報セキュリティ
のための方針群及び標
準の遵守
管理策
管理者は,自分の責任の範囲内における情報処理及び手順が,適切な個人
情報セキュリティのための方針群,標準類,及び他の全ての個人情報セキ
ュリティ要求事項を遵守していることを定期的にレビューすることが望
ましい。
C.18.2.3
技術的遵守のレビュー
管理策
個人情報システムを,組織の個人情報セキュリティのための方針群及び標
準の遵守に関して,定めに従ってレビューすることが望ましい。
60
Q 15001:2017
附属書D
(参考)
新旧対応表
表D.1に新旧規格の目次対応表,及び表D.2に新旧規格の用語対応表を示す。
表D.1−目次対応表
この規格(JIS Q 15001:2017)
旧規格(JIS Q 15001:2006)
まえがき
まえがき
0 序文
−
0.1 概要
−
0.2 他のマネジメントシステム規格との近接性
−
1 適用範囲
1 適用範囲
2 引用規格
−
3 用語及び定義
2 用語及び定義
(“3.1 組織”から“3.46 リスク所有者”まで定義)
(“2.1 個人情報”から“2.8 不適合”まで定義)
4 組織の状況
A.3.1.1 一般
−
4.1 組織及びその状況の理解
A.3.3.2 法令,国が定める指針その他の規範
3.3.2 法令,国が定める指針その他の規範
4.2 利害関係者のニーズ及び期待の理解
−
4.3 個人情報保護マネジメントシステムの適用範囲の
決定
A.3.3.1 個人情報の特定
3.3.1 個人情報の特定
4.4 個人情報保護マネジメントシステム
3 要求事項
3.1 一般要求事項
5 リーダーシップ
−
5.1 リーダーシップ及びコミットメント
3.3.4 資源,役割,責任及び権限
5.2 方針
A.3.2 個人情報保護方針
3.2 個人情報保護方針
5.2.1 内部向け個人情報保護方針
A.3.2.1 内部向け個人情報保護方針
−
5.2.2 外部向け個人情報保護方針
A.3.2.2 外部向け個人情報保護方針
−
5.3 組織の役割,責任及び権限
A.3.3.4 資源,役割,責任及び権限
3.3.4 資源,役割,責任及び権限
6 計画
3.3 計画
6.1 リスク及び機会に対処する活動
−
A.3.3.5 内部規程
3.3.5 内部規程
6.1.1 一般
−
6.1.2 個人情報保護リスクアセスメント
A.3.3.3 リスクアセスメント及びリスク対策
3.3.3 リスクなどの認識,分析及び対策
6.1.3 個人情報保護リスク対応
A.3.3.3 リスクアセスメント及びリスク対策
6.2 個人情報保護目的及びそれを達成するための計画
策定
A.3.3.6 計画策定
3.3.6 計画書
61
Q 15001:2017
表D.1−目次対応表(続き)
この規格(JIS Q 15001:2017)
旧規格(JIS Q 15001:2006)
7 支援
−
7.1 資源
A.3.3.4 資源,役割,責任及び権限
3.3.4 資源,役割,責任及び権限
7.2 力量
A.3.3.4 資源,役割,責任及び権限
7.3 認識
A.3.4.5 認識
3.4.5 教育
7.4 コミュニケーション
A.3.3.7 緊急事態への準備
3.3.7 緊急事態への準備
7.5 文書化した情報
7.5.1 一般
A.3.5 文書化した情報
3.5 個人情報保護マネジメントシステム文書
3.5.1 文書の範囲
7.5.2 作成及び更新
7.5.3 文書化した情報の管理
A.3.5.1 文書化した情報の範囲
A.3.5.2 文書化した情報(記録を除く。)の管理
A.3.5.3 文書化した情報のうち記録の管理
3.5.2 文書管理
3.5.3 記録の管理
8 運用
A.3.4 実施及び運用
3.4 実施及び運用
8.1 運用の計画及び管理
3.4.1 運用手順
A.3.4.1 運用手順
A.3.4.2 取得,利用及び提供に関する原則
3.4.2 取得,利用及び提供に関する原則
A.3.4.2.1 利用目的の特定
3.4.2.1 利用目的の特定
8.2 個人情報保護リスクアセスメント
3.4 実施及び運用
8.3 個人情報保護リスク対応
A.3.4.2.2 適正な取得
3.4.2.2 適正な取得
3.4.2.3 特定の機微な個人情報の取得,利用及び提供の
制限
A.3.4.2.3 要配慮個人情報
3.4.2.3 特定の機微な個人情報の取得,利用及び提供の
制限
A.3.4.2.4 個人情報を取得した場合の措置
3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した
場合の措置
A.3.4.2.5 A.3.4.2.4のうち本人から直接書面によって取
得する場合の措置
3.4.2.4 本人から直接書面によって取得する場合の措置
A.3.4.2.6 利用に関する措置
3.4.2.6 利用に関する措置
A.3.4.2.7 本人に連絡又は接触する場合の措置
3.4.2.7 本人にアクセスする場合の措置
A.3.4.2.8 個人データの提供に関する措置
3.4.2.8 提供に関する措置
A.3.4.2.8.1 外国にある第三者への提供の制限
−
A.3.4.2.8.2 第三者提供に係る記録の作成など
−
A.3.4.2.8.3 第三者提供を受ける際の確認など
−
A.3.4.2.9 匿名加工情報
−
A.3.4.3 適正管理
3.4.3 適正管理
A.3.4.3.1 正確性の確保
3.4.3.1 正確性の確保
A.3.4.3.2 安全管理措置
3.4.3.2 安全管理措置
A.3.4.3.3 従業者の監督
3.4.3.3 従業者の監督
A.3.4.3.4 委託先の監督
3.4.3.4 委託先の監督
A.3.4.4 個人情報に関する本人の権利
3.4.4 個人情報に関する本人の権利
62
Q 15001:2017
表D.1−目次対応表(続き)
この規格(JIS Q 15001:2017)
旧規格(JIS Q 15001:2006)
A.3.4.4.1 個人情報に関する権利
3.4.4.1 個人情報に関する権利
A.3.4.4.2 開示等の請求等に応じる手続
3.4.4.2 開示等の求めに応じる手続
A.3.4.4.3 保有個人データに関する事項の周知など
3.4.4.3 開示対象個人情報に関する事項の周知など
A.3.4.4.4 保有個人データの利用目的の通知
3.4.4.4 開示対象個人情報の利用目的の通知
A.3.4.4.5 保有個人データの開示
3.4.4.5 開示対象個人情報の開示
A.3.4.4.6 保有個人データの訂正,追加又は削除
3.4.4.6 開示対象個人情報の訂正,追加又は削除
A.3.4.4.7 保有個人データの利用又は提供の拒否権
3.4.4.7 開示対象個人情報の利用又は提供の拒否権
A.3.6 苦情及び相談への対応
3.6 苦情及び相談への対応
9 パフォーマンス評価
A.3.7 パフォーマンス評価
3.7 点検
9.1 監視,測定,分析及び評価
A.3.7.1 運用の確認
3.7.1 運用の確認
9.2 内部監査
A.3.7.2 内部監査
3.7.2 監査
9.3 マネジメントレビュー
A.3.7.3 マネジメントレビュー
3.9 事業者の代表者による見直し
10 改善
10.1 不適合及び是正処置
A.3.8 是正処置
3.8 是正処置及び予防処置
10.2 継続的改善
3.1 一般要求事項
表D.2−用語対応表
この規格(JIS Q 15001:2017)
旧規格(JIS Q 15001:2006)
組織
事業者
トップマネジメント
代表者,事業者の代表者
個人情報保護リスク
リスク
個人情報保護リスクアセスメント
リスクの認識,分析
個人情報保護リスク対応
(リスクの)対策
残留リスク
残存リスク(規格本文ではなく解説だけに記載)
認識,教育など
教育
文書化した情報
個人情報保護マネジメントシステム文書
文書化した情報(記録を除く。)
文書
文書化した情報のうち記録
記録
運用
実施及び運用
本人に連絡又は接触する
本人にアクセスする
パフォーマンス評価
点検,代表者による見直し
内部監査
監査
マネジメントレビュー
代表者による見直し
是正処置
是正処置及び予防処置
63
Q 15001:2017
参考文献
JIS Q 0073:2010 リスクマネジメント−用語
JIS Q 10002:2015 品質マネジメント−顧客満足−組織における苦情対応のための指針
JIS Q 19011:2012 マネジメントシステム監査のための指針
JIS Q 27000:2014 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語
JIS Q 27001:2014 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事
項
JIS Q 27002:2014 情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範
JIS Q 31000:2010 リスクマネジメント−原則及び指針
ISO/IEC 27005:2011,Information technology−Security techniques−Information security risk management
ISO/IEC専門業務用指針 第1部 統合版ISO補足指針の附属書SLに規定する上位構造(HLS)