1.　適用範囲
この規格は、個人情報を事業の用に供している、あらゆる種類、規模の事業者に適用できる個人情報保護マネジメントシステムに関する要求事項について規定されている。

事業者は、次の事項を行う場合に、この規格を用いることができる。
a) 個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、改善する場合。
b) この規格と個人情報保護マネジメントシステムとの適合性について自ら確認し、適合していることを自ら表明する場合。
c) 組織外部又は本人に、この規格に対する個人情報保護マネジメントシステムの適合性について確認を求める場合。
d) 外部機関による個人情報保護マネジメントシステムの認証／登録を求める場合。

2.　用語及び定義
規格文書を参照願います。

3.　要求事項
3.1　一般要求事項
事業者は、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、改善しなければならない。その要求事項は、箇条3 で規定される。

3.2　個人情報保護方針
事業者の代表者は、個人情報保護の理念を明確にした上で、次の事項を含む個人情報保護方針を定めるとともに、これを実行し、かつ、維持しなければならないことが要求されている。
a) 事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること（特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い（以下、“目的外利用”という。）を行わないこと及びそのための措置を講じることを含む。）。
b) 個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守すること。
c) 個人情報の漏えい、滅失又はき損の防止及び是正に関すること。
d) 苦情及び相談への対応に関すること。
e) 個人情報保護マネジメントシステムの継続的改善に関すること。
f) 代表者の氏名

事業者の代表者は、この個人情報保護方針を文書（電子的方式、磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む。以下、同じ。）化し、従業者に周知させるとともに、一般の人が入手可能（事例：ウエッブサイト又はパンフレット記載）な措置を講じなければならないことが要求されている。出来れば障害者の方にも適切な方法を考慮することが望ましい。

3.3　計画
3.3.1 個人情報の特定
事業者は、自らの事業の用に供するすべての個人情報を特定するための手順を確立し、かつ、維持しなければならないことが要求されている。ここで言う個人情報の特定とは、事業者でどのような種類の個人情報をどれだけ扱っているかというような調査を行うことを言い、手順の確立が要求されていることから、それらを文書化しておくこと。個人情報は生存している方々だけではない。

3.3.2　法令、国が定める指針その他の規範
事業者は、個人情報の取扱いに関する法令、国が定める指針その他の規範を特定し参照できる手順を確立し、かつ、維持しなければならないことが要求されている。

【個人情報関連の規制】
個人情報保護法、行政機関の保有する個人情報の保護に関する法律（平成15 年法律第58 号）、独立行政法人等の保有する個人情報の保護に関する法律（平成15 年法律第59 号）、各地方自治体が制定している個人情報保護条例、その他の法令、行政機関が制定している個人情報の保護に関する指針（ガイドライン）、認定個人情報保護団体が定めた個人情報保護指針、各業界が定めたガイドライン、諸外国から要請される規制等の多くがある。

3.3.3　リスクなどの認識、分析及び対策
（1）事業者は、3.3.1 によって特定した個人情報について、目的外利用を行わないため、必要な対策を講じる手順を確立し、かつ、維持しなければならないことが要求されている。
（2）事業者は、3.3.1 によって特定した個人情報について、その取扱いの各局面におけるリスク（個人情報の漏えい、滅失又はき損、関連する法令、国が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれ）を認識し、分析し、必要な対策を講じる手順を確立し、かつ、維持しなければならないことが要求されている。従って、事業者に適切なリスクマネジメント規格等を適用して、リスク分析を定期的に実施する必要がある。

・参考
JIS Q 2001「リスクマネジメントシステム構築のための指針」

3.3.4　資源、役割、責任及び権限
（1）事業者の代表者は、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、改善するために不可欠な資源を用意しなければならないことが要求されている。
（2） 事業者の代表者は、個人情報保護マネジメントシステムを効果的に実施するために役割、責任及び権限を定め、文書化し、かつ、従業者に周知しなければならないことが要求されている。
（3） 事業者の代表者は、この規格の内容を理解し実践する能力のある「個人情報保護管理者」を事業者の内部の者から指名（複数でもよい）し、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わせなければならないことが要求されている。
（4） 個人情報保護管理者は、個人情報保護マネジメントシステムの見直し及び改善の基礎として、事業者の代表者に個人情報保護マネジメントシステムの運用状況を（定期的に）報告しなければならないことが要求されている。

3.3.5　内部規程
事業者は、次の事項を含む内部規程を文書化し、かつ、維持しなければならないことが要求されている（他要求事項内容と重複）。
a) 個人情報を特定する手順に関する規定
b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
c) 個人情報に関するリスクの認識、分析及び対策の手順に関する規定
d) 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
e) 緊急事態（個人情報が漏えい，滅失又はき損をした場合）への準備及び対応に関する規定
f) 個人情報の取得、利用及び提供に関する規定
g) 個人情報の適正管理に関する規定
h) 本人からの開示等の求めへの対応に関する規定
i) 教育に関する規定
j) 個人情報保護マネジメントシステム文書の管理に関する規定
k) 苦情及び相談への対応に関する規定
l) 点検に関する規定
m) 是正処置及び予防処置に関する規定
n) 代表者による見直しに関する規定
o) 内部規程の違反に関する罰則の規定

事業者は、事業の内容（及び法令、規制等の改訂）に応じて、個人情報保護マネジメントシステムが確実に適用されるように内部規程を改訂・維持しなければならないことが要求されている。

3.3.6　計画書
事業者は、個人情報保護マネジメントシステムを確実に実施するために必要な教育、監査などの計画を立案し、文書化し、かつ、維持しなければならないことが要求されている。ここでいう監査とは、内部監査及び／又は第二者監査をいう。

3.3.7　緊急事態への準備
（1）事業者は、緊急事態を特定するための手順、また、それらにどのように対応するかの手順を確立し、実施し、かつ、維持しなければならないことが要求されている。
（2） 事業者は、個人情報が漏えい、滅失又はき損をした場合に想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれを考慮し、その影響を最小限とするための手順を確立し、かつ、維持しなければならないことが要求されている。また、個人情報の漏えい、滅失又はき損が発生した場合に備え、次の事項を含む対応手順を確立し、かつ，維持しなければならないことが要求されている。
a) 当該漏えい、滅失又はき損が発生した個人情報の内容を本人に速やかに通知し、又は本人が容易に知り得る状態に置くこと。
b) 二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係、発生原因及び対応策を、遅滞なく公表すること。
c) 事実関係、発生原因及び対応策を関係機関に直ちに報告すること。

3.4　実施及び運用
3.4.1　運用手順
事業者は、個人情報保護マネジメントシステムを確実に実施するために、運用の手順を明確にしなければならないことが要求されている。

3.4.2　取得，利用及び提供に関する原則
3.4.2.1　利用目的の特定
事業者は、個人情報を取得するに当たっては、その利用目的をできる限り特定し、その目的の達成に必要な限度において行わなければならないことが要求されている。

3.4.2.2　適正な取得
事業者は、適法、かつ、公正な手段によって個人情報を取得しなければならないことが要求されている。

3.4.2.3　特定の機微な個人情報の取得、利用及び提供の制限
事業者は、次に示す内容を含む個人情報の取得、利用又は提供は、行ってはならないことが示され、要求されている。ただし、これらの取得、利用又は提供について、明示的な本人の同意がある場合及び3.4.2.6 のただし書きa)〜d) のいずれかに該当する場合は、この限りでない。
a) 思想、信条又は宗教に関する事項
b) 人種、民族、門地、本籍地（所在都道府県に関する情報を除く。）、身体・精神障害、犯罪歴その他社会的差別の原因となる事項
c) 勤労者の団結権、団体交渉その他団体行動の行為に関する事項
d) 集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項
e) 保健医療又は性生活に関する事項

3.4.2.4　本人から直接書面によって取得する場合の措置
事業者は、本人から、書面（電子的方式、磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む。以下、同じ。）に記載された個人情報を直接に取得する場合には、少なくとも、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって本人に明示し、本人の同意を得なければならないことが要求されている。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合、3.4.2.5 のただし書きa)〜d) のいずれかに該当する場合、及び3.4.2.6 のただし書きa)〜d) のいずれかに該当する場合は、この限りではない。
a) 事業者の氏名又は名称
b) 個人情報保護管理者（若しくはその代理人）の氏名又は職名、所属及び連絡先
c) 利用目的
d) 個人情報を第三者に提供することが予定される場合の事項
− 第三者に提供する目的
− 提供する個人情報の項目
− 提供の手段又は方法
− 当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性
− 個人情報の取扱いに関する契約がある場合はその旨
e) 個人情報の取扱いの委託を行うことが予定される場合には、その旨
f) 3.4.4.4〜3.4.4.7 に該当する場合には、その求めに応じる旨及び問合せ窓口
g) 本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果
h) 本人が容易に認識できない方法によって個人情報を取得する場合には、その旨

3.4.2.5　個人情報を3.4.2.4 以外の方法によって取得した場合の措置
事業者は、個人情報を3.4.2.4 以外の方法によって取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を、本人に通知し、又は公表しなければならないことが要求されている。ただし、次に示すいずれかに該当する場合は、この限りではない。
a) 利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
b) 利用目的を本人に通知し、又は公表することによって当該事業者の権利又は正当な利益を害するおそれがある場合
c) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することによって当該事務の遂行に支障を及ぼすおそれがあるとき
d) 取得の状況からみて利用目的が明らかであると認められる場合

3.4.2.6　利用に関する措置
（1）事業者は、特定した利用目的の達成に必要な範囲内で個人情報を利用しなければならないことが要求されている。
（2） 特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、あらかじめ、少なくとも，3.4.2.4 のa)〜f) に示す事項又はそれと同等以上の内容の事項を本人に通知し、本人の同意を得なければならないことが要求されている。ただし、次に示すいずれかに該当する場合は，この限りではない。
a) 法令に基づく場合
b) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
c) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
d) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがあるとき

3.4.2.7　本人にアクセスする場合の措置
事業者は、個人情報を利用して本人にアクセスする場合には、本人に対して、3.4.2.4 のa)〜f) に示す事項又はそれと同等以上の内容の事項、及び取得方法を通知し、本人の同意を得なければならないことが要求されている。ただし、次に示すいずれかに該当する場合は、この限りではない。
a) 3.4.2.4 のa)〜f) に示す事項又はそれと同等以上の内容の事項を明示又は通知し、既に本人の同意を得ているとき
b) 個人情報の取扱いの全部又は一部を委託された場合であって、当該個人情報を、その利用目的の達成に必要な範囲内で取り扱うとき
c) 合併その他の事由による事業の承継に伴って個人情報が提供され、個人情報を提供する事業者が，既に3.4.2.4 のa)〜f) に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき
d) 個人情報が特定の者との間で共同して利用され、共同利用者が、既に3.4.2.4 のa)〜f) に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得ている場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
− 共同して利用すること
− 共同して利用される個人情報の項目
− 共同して利用する者の範囲
− 共同して利用する者の利用目的
− 共同して利用する個人情報の管理について責任を有する者の氏名又は名称
− 取得方法
e) 3.4.2.5 のただし書きd) に該当するため、利用目的などを本人に明示、通知又は公表することなく取得した個人情報を利用して、本人にアクセスするとき
f) 3.4.2.6 のただし書きa)〜d) のいずれかに該当する場合

3.4.2.8　提供に関する措置
事業者は、個人情報を第三者に提供する場合には、あらかじめ、本人に対して、取得方法及び3.4.2.4 のa) 〜d) の事項又はそれと同等以上の内容の事項を通知し、本人の同意を得なければならないことが要求されている。ただし、次に示すいずれかに該当する場合は、この限りではない。
a) 3.4.2.4 又は3.4.2.7 の規定によって、既に3.4.2.4 のa) 〜d) の事項又はそれと同等以上の内容の事項を本人に明示又は通知し、本人の同意を得ているとき
b) 大量の個人情報を広く一般に提供するため、本人の同意を得ることが困難な場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又はそれに代わる同等の措置を講じているとき
− 第三者への提供を利用目的とすること
− 第三者に提供される個人情報の項目
− 第三者への提供の手段又は方法
− 本人の求めに応じて当該本人が識別される個人情報の第三者への提供を停止すること
− 取得方法
c) 法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に関する情報であって、かつ、法令に基づき又は本人若しくは当該法人その他の団体自らによって公開又は公表された情報を提供する場合であって、b) で示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
d) 特定した利用目的の達成に必要な範囲内において、個人情報の取扱いの全部又は一部を委託するとき
e) 合併その他の事由による事業の承継に伴って個人情報を提供する場合であって、承継前の利用目的の範囲内で当該個人情報を取り扱うとき
f) 個人情報を特定の者との間で共同して利用する場合であって、次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき
− 共同して利用すること
− 共同して利用される個人情報の項目
− 共同して利用する者の範囲
− 共同して利用する者の利用目的
− 共同して利用する個人情報の管理について責任を有する者の氏名又は名称
− 取得方法
g) 3.4.2.6 のただし書きa)〜d) のいずれかに該当する場合

3.4.3　適正管理
3.4.3.1　正確性の確保
事業者は、利用目的の達成に必要な範囲内において、個人情報を、正確、かつ、最新の状態で管理しなければならないことが要求されている。

3.4.3.2　安全管理措置
事業者は、その取り扱う個人情報のリスクに応じて、漏えい、滅失又はき損の防止その他の個人情報の安全管理のために必要、かつ、適切な措置を講じなければならないことが要求されている。

3.4.3.3　従業者の監督
事業者は、その従業者に個人情報を取り扱わせるに当たっては、当該個人情報の安全管理が図られるよう、当該従業者に対し必要、かつ、適切な監督を行わなければならないことが要求されている。

3.4.3.4　委託（アウトソース）先の監督
（1）事業者は、個人情報の取扱いの全部又は一部を委託する場合は、十分な個人情報の保護水準を満たしている者を選定しなければならないことが要求されている。このため、事業者は、委託を受ける者を選定する基準を確立しなければならない。
（2） 事業者は、個人情報の取扱いの全部又は一部を委託する場合は、委託する個人情報の安全管理が図られるよう、委託を受けた者に対する必要、かつ、適切な監督を行わなければならないことが要求されている。
（3）事業者は、次に示す事項を契約によって規定し、十分な個人情報の保護水準を担保しなければならないことが要求されている。
a) 委託者及び受託者の責任の明確化
b) 個人情報の安全管理に関する事項
c) 再委託に関する事項
d) 個人情報の取扱状況に関する委託者への報告の内容及び頻度
e) 契約内容が遵守されていることを委託者が確認できる事項
f) 契約内容が遵守されなかった場合の措置
g) 事件・事故が発生した場合の報告・連絡に関する事項
（4）事業者は、当該契約書などの書面を少なくとも個人情報の保有期間にわたって保存しなければならないことが要求されている。

3.4.4　個人情報に関する本人の権利
3.4.4.1　個人情報に関する権利
事業者は、電子計算機を用いて検索することができるように体系的に構成した情報の集合物又は一定の規則に従って整理、分類し、目次、索引、符合などを付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報であって、事業者が、本人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の求めのすべてに応じることができる権限を有するもの（以下、3.4.4 において“開示対象個人情報”という。）に関して、本人から利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止（以下、“開示等”という。）を求められた場合は、3.4.4.4 〜 3.4.4.7 の規定によって、遅滞なくこれに応じなければならないことが要求されている。ただし、次のいずれかに該当する場合は、開示対象個人情報ではない。
a) 当該個人情報の存否が明らかになることによって、本人又は第三者の生命、身体又は財産に危害が及ぶおそれのあるもの
b) 当該個人情報の存否が明らかになることによって、違法又は不当な行為を助長し、又は誘発するおそれのあるもの
c) 当該個人情報の存否が明らかになることによって、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれのあるもの
d) 当該個人情報の存否が明らかになることによって、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序維持に支障が及ぶおそれのあるもの

3.4.4.2　開示等の求めに応じる手続
（1）事業者は、開示等の求めに応じる手続として次の事項を定めなければならないことが要求されている。
a) 開示等の求めの申し出先
b) 開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式
c) 開示等の求めをする者が，本人又は代理人であることの確認の方法
d) 3.4.4.4 又は3.4.4.5 による場合の手数料（定めた場合に限る。）の徴収方法

（2）事業者は、本人からの開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならないことが要求されている。
（3）事業者は、3.4.4.4 又は3.4.4.5 によって本人からの求めに応じる場合に、手数料を徴収するときは、実費を勘案して合理的であると認められる範囲内において、その額を定めなければならないことが要求されている。

3.4.4.3　開示対象個人情報に関する事項の周知など
事業者は、取得した個人情報が開示対象個人情報に該当する場合は、当該開示対象個人情報に関し、次の事項を本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならないことが要求されている。
a) 事業者の氏名又は名称
b) 個人情報保護管理者（若しくはその代理人）の氏名又は職名、所属及び連絡先
c) すべての開示対象個人情報の利用目的［3.4.2.5 のa)〜c) までに該当する場合を除く。］
d) 開示対象個人情報の取扱いに関する苦情の申し出先
e) 当該事業者が個人情報の保護に関する法律（平成15 年法律第57 号）第37 条第1 項の認定を受けた者（以下，“認定個人情報保護団体”という。）の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申し出先
f) 3.4.4.2 によって定めた手続

3.4.4.4　開示対象個人情報の利用目的の通知
事業者は、本人から、当該本人が識別される開示対象個人情報について、利用目的の通知を求められた場合には、遅滞なくこれに応じなければならないことが要求されている。ただし、3.4.2.5 のただし書きa)〜c) のいずれかに該当する場合、又は3.4.4.3 のc) によって当該本人が識別される開示対象個人情報の利用目的が明らかな場合は利用目的の通知を必要としないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明しなければならない。

3.4.4.5　開示対象個人情報の開示
（1）事業者は、本人から、当該本人が識別される開示対象個人情報の開示（当該本人が識別される開示対象個人情報が存在しないときにその旨を知らせることを含む。）を求められたときは、法令の規定によって特別の手続が定められている場合を除き、本人に対し、遅滞なく、当該開示対象個人情報を書面（開示の求めを行った者が同意した方法があるときは、当該方法）によって開示しなければならないことが要求されている。
（2） ただし、開示することによって次のa)〜c) のいずれかに該当する場合は、その全部又は一部を開示する必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明しなければならないことが要求されている。
a) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
b) 当該事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
c) 法令に違反することとなる場合

3.4.4.6　開示対象個人情報の訂正、追加又は削除
（1）事業者は、本人から、当該本人が識別される開示対象個人情報の内容が事実でないという理由によって当該開示対象個人情報の訂正、追加又は削除（以下、この項において“訂正等”という。）を求められた場合は、法令の規定によって特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づいて、当該開示対象個人情報の訂正等を行わなければならないことが要求されている。
（2） また、事業者は、訂正等を行ったときは、その旨及びその内容を、本人に対し、遅滞なく通知し、訂正等を行わない旨の決定をしたときは、その旨及びその理由を、本人に対し、遅滞なく通知しなければならないことが要求されている。

3.4.4.7　開示対象個人情報の利用又は提供の拒否権
（1）事業者が、本人から当該本人が識別される開示対象個人情報の利用の停止、消去又は第三者への提供の停止（以下、この項において“利用停止等”という。）を求められた場合は、これに応じなければならないことが要求されている。
（2） また、措置を講じた後は、遅滞なくその旨を本人に通知しなければならないことが要求されている。ただし、3.4.4.5 のただし書きa)〜c) のいずれかに該当する場合は、利用停止等を行う必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明しなければならないことが要求されている。

3.4.5　教育
（1）事業者は，従業者（すべての要員）に、定期的に適切な教育を行わなければならないことが要求されている。
（2） 事業者は、従業者に、関連する各部門及び階層における次の事項を理解させる手順を確立し、かつ、維持しなければならないことが要求されている。
a) 個人情報保護マネジメントシステムに適合することの重要性及び利点
b) 個人情報保護マネジメントシステムに適合するための役割及び責任
c) 個人情報保護マネジメントシステムに違反した際に予想される結果

（3）事業者は、教育の計画及び実施、結果の報告及びそのレビュー、計画の見直し並びにこれらに伴う記録の保持に関する責任及び権限を定める手順を確立し、実施し、かつ、維持しなければならないことが要求されている。

3.5　個人情報保護マネジメントシステム文書
3.5.1　文書の範囲
事業者は、次の個人情報保護マネジメントシステムの基本となる要素を書面で記述しなければならないことが要求されている。
a) 個人情報保護方針
b) 内部規程
c) 計画書
d) この規格が要求する記録及び事業者が個人情報保護マネジメントシステムを実施する上で必要と判断した記録

3.5.2　文書管理
（1）事業者は、この規格が要求するすべての文書（記録を除く。）を管理する手順を確立し、実施し、かつ、維持しなければならないことが要求されている。
（2）文書管理の手順には、次の事項が含まれなければならないことが要求されている。
a) 文書の発行及び改訂に関すること
b) 文書の改訂の内容と版数との関連付けを明確にすること
c) 必要な文書が必要なときに容易に参照できること

3.5.3　記録の管理
（1）事業者は、個人情報保護マネジメントシステム及びこの規格の要求事項への適合を実証するために必要な記録を作成し、かつ、維持しなければならないことが要求されている。
（2） 事業者は、記録の管理についての手順を確立し、実施し、かつ、維持しなければならないことが要求されている。

3.6　苦情及び相談への対応
（1）事業者は、個人情報の取扱い及び個人情報保護マネジメントシステムに関して、本人からの苦情及び相談を受け付けて、適切、かつ、迅速な対応を行う手順を確立し、かつ、維持しなければならないことが要求されている。
（2） 事業者は、上記の目的を達成するために必要な体制の整備を行わなければならないことが要求されている。

・参考
JIS Q 10002「品質マネジメント―顧客満足―組織における苦情対応のための指針」

3.7　点検
3.7.1　運用の確認
事業者は、個人情報保護マネジメントシステムが適切に運用されていることが事業者の各部門及び階層において定期的に確認されるための手順を確立し、実施し、かつ、維持しなければならないことが要求されている。

3.7.2　監査
（1）事業者は、個人情報保護マネジメントシステムのこの規格への適合状況及び個人情報保護マネジメントシステムの運用状況を定期的に監査しなければならないことが要求されている。
（2） 事業者の代表者は、公平、かつ、客観的な立場にある個人情報保護監査責任者を事業者の内部の者から指名し、監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与え、業務を行わせなければならないことが要求されている。
（3） 個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、事業者の代表者に報告しなければならないことが要求されている。
（4） 監査員の選定及び監査の実施においては、監査の客観性及び公平性を確保しなければならないことが要求されている。
（5）事業者は、監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任及び権限を定める手順を確立し、実施し、かつ、維持しなければならないことが要求されている。

・参考
JIS Q 19011「品質及び／又は環境マネジメントシステム監査のための指針」

3.8　是正処置及び予防処置
（1）事業者は、不適合に対する是正処置及び予防処置を確実に実施するための責任及び権限を定める手順を確立し、実施し、かつ、維持しなければならないことが要求されている。
（2） その手順には、次の事項を含めなければならないことが要求されている。
a) 不適合の内容を確認する。
b) 不適合の原因を特定し、是正処置及び予防処置を立案する。
c) 期限を定め、立案された処置を実施する。
d) 実施された是正処置及び予防処置の結果を記録する。
e) 実施された是正処置及び予防処置の有効性をレビューする。

3.9　事業者の代表者による見直し（マネジメントレビュー）
（1）事業者の代表者は、個人情報の適切な保護を維持するために、定期的に個人情報保護マネジメントシステムを見直さなければならないことが要求されている。
（2）事業者の代表者による見直しにおいては，次の事項を考慮しなければならないことが要求されている。
a) 監査及び個人情報保護マネジメントシステムの運用状況に関する報告
b) 苦情を含む外部からの意見
c) 前回までの見直しの結果に対するフォローアップ
d) 個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況
e) 社会情勢の変化、国民の認識の変化，技術の進歩などの諸環境の変化
f) 事業者の事業領域の変化
g) 内外から寄せられた改善のための提案

弊社コンサルティングについて これからJIS Q 15001を構築しようとお考えの各位様はお気軽に「お問い合わせ」及び／又は「お見積もり」請求を下さるよう、重ねてお願い申し上げます。