ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

Pマークの安全管理措置に関する規定を簡素化できませんか?

公開日:2025/12/08
Pマークサンプル文書集.  35 views
※本記事は、ISM Web store が作成・検証したものです。

世話になります。標記の件、添付の保護規程をもとにPマークの規程を作成しておりますが、「安全管理措置」について、規格要求事項で4行程度の記載に対して、約10ページのひな形文書が、作業上、負担になっております。

他社の作成規程を見ると、1ページ以内の記載でも、審査にも適合しているように思われました。

規格書の主旨に沿ったもっと簡潔なひな形があればご教授ください。

ひな形を修正すると全体の枚数が大きく変わり、マクロ(目次)の適用なども心配です。ご協力いただきたくお願いします。

※ただし、ひな形の記載内容が詳細に渡っており、ハンドブックなど手順書レベルではたいへん助かっていることを追記いたします。

よろしくお願いします。

Pマークにおける「安全管理措置」の規格要求事項は、組織がどのような安全管理措置を講じるかを定めた「文書化された規定」を求めるものです。

審査において重要視されるのは、組織が特定したリスクに対して、組織としての方針や枠組みを定めているか、そしてその措置が個人情報保護のために適切に機能しているかという点です。

他社様が1ページ以内の記載で適合しているのは、組織の枠組み(誰が、何を、どのように管理するか)をシンプルに規定し、具体的な実施内容は別途の手順書で運用しているためと考えられます。

通常、1ページ以内の記載(記述レベルや内容は不明ですが)だけでは審査に適合は難しく、必ず規程書に関連づいた手順書なども確認された上で、適合していると思います。

仮に1ページ以内の記載だけで審査に適合しているのであれば、審査を受けたすべての人が、審査員に対して、同じように口頭で詳細の手順を説明し、関連様式を提示及び説明できていることが必要になります。

ご提案する文書構成(規定と手順書の分離)

現在のひな形(個人情報取扱及び保護規程)は、具体的な運用手順(物理的、技術的、組織的な措置の詳細)までを網羅しております。

よって、「ハンドブックや手順書レベル」としてのご活用をお考えであれば、規定文書を簡潔にするため、以下のように、文書階層の分離をしても良いかと思います。

(1)ひな形に記載の「安全管理措置」の規定部分の変更

Pマーク要求事項のJIS Q 15001:2023の「A.10 安全管理措置」に適合するための組織としての枠組みや方針、管理策の概要を定め、審査に提出する主な規定文書として、1~2ページ程度に簡潔にまとめる。

(2)ひな形の「安全管理措置」の規定に関する記述を別文書(手順書)として定める

先の(1)に基づき、具体的な実施手順や詳細なルールを定めたものとして、別文書を作成する。ひな形の記述内容をそのまま活用して、手順書として位置付ける。なお、自社に合わせて内容(手順)を見直すことで、簡素化できるかもしれません。

このような構成にすることで、以下のようなメリットも得られます。

  • 規定文書の簡素化
    審査対応に必要な「規定」を簡潔にし、文書作成・改訂時の負担を軽減できます。
  • 詳細情報の維持
    お客様で「たいへん助かっている」と言っていただいている詳細な実施内容は、手順書として残るため、現場の運用ルールとして引き続き活用可能となります。
  • マクロなどへの影響回避
    既存の保護規程本体(マクロ適用などをご懸念の文書)を大きく変更する必要がなく、新たに「安全管理措置」に関する規定を独立した別文書として作成・運用できます。

新たに「安全管理措置」に記載する規定部分の記載例

新たにひな形の「安全管理措置」の箇所に作成する、1~2ページ程度の記載内容としては、以下のような項目と概要に絞り込むことをご検討ください。

なお、以下はあくまで記載内容の例となりますので、お客様のご事情に合わせて追加・修正などしてください。

【記載項目の例】

3.2 安全管理措置

(ここの部分は、ひな形の内容をそのまま記載)

3.2.1 組織的安全管理措置

個人情報の適切な取扱いを確保するため、個人情報保護に関する組織体制の整備、個人情報保護管理者や監査責任者の明確化、規程等の整備、並びに緊急事態発生時の対応手順を確立し、これを文書化された手順書(個人情報安全管理措置手順書)に従って実施する。

3.2.2 人的安全管理措置

個人情報を取り扱うすべての役員および従業員に対し、個人情報保護の重要性を理解させ、法令・規程等を遵守させるため、定期的な教育および訓練を実施する。また、従業者との秘密保持に関する契約または誓約書を取り交わし、適切な監督を行う。具体的な実施方法、教育計画、および秘密保持に関する詳細事項は、別途文書化された手順書(個人情報安全管理措置手順書)に従って実施する。

3.2.3 物理的安全管理措置

個人情報が記録された機器、電子媒体および書類等の盗難や紛失等を防止するため、個人情報を取り扱う区域を明確にし、入退室管理および媒体の施錠管理等を実施する。具体的な取扱区域の特定、入退室の手順、および機器・媒体の管理方法に関する詳細事項は、別途文書化された手順書(個人情報安全管理措置手順書)に従って実施する。

3.2.4 技術的安全管理措置

個人情報への不正アクセスや情報漏えいを防止するため、個人情報データベース等に対するアクセス制御(識別と認証)、不正ソフトウェア対策、外部からの不正アクセス防御、および情報システムの使用に伴う漏えい防止措置を講じる。具体的なアクセス権限の設定、システム構成、および各種セキュリティ対策の実施手順に関する詳細事項は、別途文書化された手順書(個人情報安全管理措置手順書)に従って実施する。

以上、「どのように実施するか(手順書に従って)」という枠組みを明確に記載することで、Pマークの要求事項を満たしつつ、文書量を削減することが可能かと思います。

既存のひな形(プライバシーマークサンプル文書集)の安全管理措置に関する規定をそのまま「手順書」として位置づけ直し、簡潔な「規定」とすることで、規格の主旨に沿った文書構成を実現できると考えます。

ISM Web store

執筆・監修:ISM Web store サポート

ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。


ISMSサンプル文書集
リモートワークが主体ですが、サンプル文書は活用及び運用できる内容ですか?
2022/09/27 ISMSサンプル文書集,ISMS社員教育用テキスト 566 views
プライバシーマーク サンプル文書集
「力量評価記録」について
2010/01/08 Pマークサンプル文書集 6,508 views
プライバシーマーク サンプル文書集
各サンプル規程内で「社員等」「社員」「従業員」の言葉が混在しておりますが、どのような基準で使い分けをされていますでしょうか。
2022/05/17 Pマークサンプル文書集 1,818 views
プライバシーマーク サンプル文書集

文書づくりにお困りなら『プライバシーマークサンプル文書集』

プライバシーマークサンプル文書集は、プライバシーマーク取得に必要なマニュアルおよび規程書、様式を具体的に示したサンプル文書集です。プライバシーマーク制度の審査基準への対応はもちろん、JISQ15001要求事項へ対応した作りとなっています。

PRISM Web store

詳しくはこちら

Store

プライバシーマーク取得支援パッケージ

プライバシーマーク認定の支援パッケージ。

詳しくはこちら

プライバシーマーク サンプル文書集

プライバシーマークのサンプル文書集。

詳しくはこちら

プライバシーマーク社員教育用テキスト

プライバシーマークの社員教育用テキスト。

詳しくはこちら

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

詳しくはこちら

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

詳しくはこちら

対訳ISO9001:2015品質マネジメントの国際規格

対訳ISO9001:2015品質マネジメントの国際規格

詳しくはこちら