ログイン無料で試す

個人情報保護規程の作成ガイド|改正個情法対応とPマーク取得・更新の要件

公開:  / 約 3

個人情報保護法は2022年4月の改正施行で大きな見直しがありました。Pマーク取得・更新ISMS審査を控える企業は、改正内容に対応した個人情報保護規程の整備が必須です。

改正個情法(2022年4月)の主要ポイント

1. 漏えい等発生時の通知・報告義務

  • 一定要件下で個人情報保護委員会への報告義務
  • 本人への通知義務
  • 速報(3〜5日以内)と確報(30日以内)の二段階報告

2. 仮名加工情報・匿名加工情報の規定

  • 個人を特定できないよう加工した情報の取扱いルール
  • 内部分析・統計利用の自由度向上

3. 委託先監督義務の強化

  • 委託先での漏えいも委託元の責任
  • 契約・選定基準・教育研修・モニタリングが必要

4. 越境移転規制

  • 外国にある第三者への個人データ提供時の本人同意取得
  • 提供先国の個人情報保護制度の情報提供義務

5. 不適正利用の禁止

  • 違法・不当な行為を助長する利用の禁止が明文化

6. 個人関連情報の規定

  • Cookie 等の個人を特定しない情報も、第三者で個人と紐付く場合は本人同意が必要

規程に盛り込むべき必須項目

第1章 総則

  • 目的(法令遵守、個人の権利利益の保護)
  • 用語定義(個人情報、個人データ、個人関連情報、仮名加工情報、匿名加工情報)
  • 適用範囲(全従業員、業務委託先含む)

第2章 取得・利用

  • 利用目的を特定し、本人に通知・公表
  • 利用目的の変更には本人同意(または合理的な範囲内)
  • 不適正利用の禁止
  • 取得方法のルール(適正・適法な手段)

第3章 保管・管理

  • 安全管理措置(組織的・人的・物理的・技術的)
  • アクセス制御
  • 持ち出し・複製のルール
  • 保管期間と廃棄方法

第4章 第三者提供

  • 第三者提供の原則本人同意
  • 例外(法令、生命・身体保護、公衆衛生、国の事務、業務委託、事業承継、共同利用)
  • 越境移転の追加要件
  • 第三者提供の記録義務(提供日、提供先、項目)

第5章 委託先管理

  • 委託先選定基準
  • 委託契約への記載事項
  • 監督方法(年1回の監査、報告書提出など)
  • 再委託の取扱い

第6章 開示等請求への対応

  • 本人からの開示・訂正・削除・利用停止請求への対応
  • 受付窓口・手数料・対応期間
  • 不開示事由の判断基準

第7章 漏えい等インシデント対応

  • 検知から報告までのフロー
  • 個人情報保護委員会への報告(速報・確報)
  • 本人への通知方法
  • 再発防止策の策定

第8章 教育・研修

  • 全従業員への年1回以上の研修
  • 受講記録の保管
  • 違反時の懲戒

第9章 監査

  • 内部監査の実施
  • 監査結果の記録と改善

Pマーク取得・更新で必ず問われる項目

審査では次が必ずチェックされます:

  • 個人情報保護方針の制定と周知
  • 個人情報の特定・棚卸(リスク分析を含む)
  • 教育記録(年1回の研修受講証跡、未受講者対応)
  • 監査記録(内部監査の実施と是正)
  • 委託先評価記録(年1回の見直し)
  • インシデント記録(軽微なものも含めて記録)
  • 本人開示等請求の対応記録

これらを規程と運用記録の両面で整備しておく必要があります。

ISMS との関係

ISMS(ISO 27001)は情報セキュリティ全般、Pマークは個人情報に特化、と棲み分けられます。両方取得する場合は、

  • 情報セキュリティ基本方針(ISMS)
  • 個人情報保護方針(Pマーク)
  • 情報資産管理規程(共通)
  • 個人情報保護規程(Pマーク)

のように規程体系を分けると整合が取りやすいです。

ありがちな失敗

1. 個人情報の特定が最新化されていない

業務変更で扱う情報が増えても、特定リストが古いままの企業が多い。年1回の棚卸を運用ルール化しておくべきです。

2. 教育の受講管理が紙ベース

受講者の出席簿だけだと、退職者・休職者・新入社員の対応が漏れがちです。電子的に受講記録を管理する仕組みが審査で評価されます。

3. 委託先監督の形骸化

「契約書を交わしただけ」では監督義務を果たしたとは言えません。年1回の質問票送付・回答評価などの実態が必要です。

4. 越境移転対応の漏れ

クラウドサービス(SaaS)のデータが海外サーバに保管される場合も越境移転に該当することがあります。利用サービスのリージョン確認が必要です。

規程ログでの整備

規程ログには改正個情法対応の個人情報保護規程テンプレートが組み込まれています。教育研修の受講証跡を既読管理機能で記録できるため、Pマーク審査の証跡として活用できます。

まとめ

個人情報保護規程はPマーク・ISMS・取引先審査で必ず問われる重要規程です。改正個情法の漏えい報告義務・越境移転規制をカバーした最新版に維持し、運用記録(教育・監査・委託先評価)と組み合わせて運用することが審査対応のカギになります。

※ 本記事は一般的な情報整理を目的としています。具体的な規程作成・改訂は弁護士・社労士・専門コンサルタントによる最終確認を推奨します。

規程ログを無料で始める

クレジットカード不要・60 秒で登録完了・Free プランは永年無料

関連記事(法改正対応

無料で始める