JIS Q 15001:2017｜Pマーク　ISMSのコンサル　取得は
スリープロサポート株式会社

Pマークコンサルタント：HOME ＞JIS Q 15001:2006 ＞ JIS Q 15001規格解説 3.3.4〜3.3.5

　JIS Q 15001:2006　規格解説　項番3.3.4〜3.3.5

　Pマークを認定取得するにはJIS Q 15001:2006に基づきPMS構築を構築・運用する事が求められていますが、個人情報保護活動にあたり具体的な活動のルールは規程書で定めます。PMSマニュアル同様PMSを支える骨格部分であり、文書審査時に提出を求められます。JIS Q 15001:2006での内部規定は、3.3.5のa)〜o)まで15の規定が要求されており、個人情報を取り扱う為の具体的なルールとなります。この15の規程を新たに作成するとなると非常に大変な作業が発生しますが、実はこの規定は、コンサルティング経験上、現状企業で実施しているルールをほとんど反映できます。また、新たに作成する規定は「通常業務ではあまり活用しない規程」が多くなるのが現状です。
　また、3.3.4では個人情報保護管理体制や、個人情報管理責任者やそれぞれの従業者が実施するPMSにおける責任と・権限を明確にすることを求めています。

※引用：JIS Q 15001:2006

【解説】
　3.3.4資源、役割、責任及び権限では、PMSを実施するために体制整備について要求しています。事業者の代表者はとありますので、トップは、必要な資源（人、者、金）を用意し、従業者の役割、責任、権限を文書化し、全社員に周知しなければなりません。またここでは、「個人情報保護管理責任者」を任命する事も明確にしています。個人情報保護管理責任者は、社外に責任を持てる者（例えば役員等）を推奨しています（あくまで推奨です）。しかしPマークの審査時は、個人情報保護管理責任者が約8割の説明や質問に応えなくてはならないので、名前だけの責任者では無く、実際にPMSを完全把握している事が必須となります。

※引用：JIS Q 15001:2006

【解説】
　3.3.5内部規定では、Pマークの審査やPMSの構築にあたり必要な規程を明確に要求しています。 規程が無いという事を絶対に避けましょう。この15の規定の中で、既に企業で実施しているルール(規定）がある場合、その内容を見直し、問題が無ければそのまま適用しましょう。例えば、o)罰則規定は案外どの様な企業でも備えてあるはずです。規程作成における重要なポイントは、単に形式的な「規程」ではなく、個人情報を取り扱う社員などが規定された業務に直面したとき、具体的に何をしなければならないのか、何をしてはいけないのかを理解し実行できるように策定することです。 また、あまり厳しい手間がかかるルールは作らず、現状で無理なく活動でき、業務に支障を与えないルールを作る事も非常に重要です。特に、f)、g)などは通常業務で常に行われているルールになりますので、厳しい規定や無理な規定を策定すると、業務に悪影響をきたす恐れがありますので注意が必要です。Pマーク制度で更新ができない理由の大きな原因は、全社員に「ルールが周知徹底」できずPMSの活動ができていないからです。