P M S マニュアル第2．6版YPM－P010 YPM－P010 5／35 個人情報の利用及び提供に関する手順（2）Do 個人情報の委託に関する手順 ①対応計画策定・実施

All Rights Reserved, Copyright © 株式会社横浜電算 2010-2018

複製№配布№

ＰＭＳマニュアル

第２．６版

２０１８年　　１０月　１日社内

承認者

※本書を教育目的または参考資料として配布する場合は管理外文書とし、表紙に管理外文書であることが明確に分かるよう識別を付加すること。

2018/10/01

菅原　正行

YPM-P010２０１８年　　１０月　１日

社内、関連部門及び関連会社株式会社　横浜電算

適用範囲公開制限

作成者

2018/10/01

李　紘輝

確認者

2018/10/01

金子　秀光

文書番号発行日

適用開始日

発行元適用規格 JIS Q 15001:2017

YPM-P010 YPM-P010

【改定履歴】

第2．6版２０１８年　　１０月　１日適用規格　JIS Q 15001:2017　規格対応

2016年内部監査指摘対応：記述間違い訂正第2．4版２０１６年　１１月　１１日

第2．5版２０１７年　　２月　２８日Ｐマーク認定機関文書審査指摘事項対応

２０１６年　　５月　２４日

「行政手続における特定の個人を識別するための番号の利用等に関する法律」への対応

JIS Q 15001と部署（機能）とのマトリックス（付録Ａ)更新法的要求事項　交付・施行・改正欄・改定日・URL（付録B)更新

組織概念図（付録C）更新）第2．3版

第2．2版２０１５年　１１月　２６日 JIS Q 15001と部署（機能）とのマトリックス（付録Ａ)更新

変更理由・内容

初版

『ＰＭＳマニュアル』の発行情報

発行版数

第１．０版

発行日

２０１０年　１０月　　１日

第１．１版２０１０年　１２月　２０日Ｐマーク認定機関文書審査指摘事項対応

第１．２版２０１１年　　３月　１７日Ｐマーク認定取得版発行

第１．３版２０１１年　　８月　２５日法人名称変更

第１．４版２０１２年　　２月　２３日組織概念図訂正

第１．７版２０１３年　　９月　１７日法的要求事項追加　項番３（ISMS対応）

法的要求事項　項番35改定日

第１．５版２０１２年　１１月　２２日組織概念図訂正・記載誤り訂正

第１．６版２０１３年　　２月　２１日法的要求事項訂正　項番19,20,21,30

法的要求事項　公布・施行・改正欄URL全面変更

第１．９版２０１５年　　２月　１６日Ｐマーク認定機関文書審査指摘事項対応

第１．８版２０１４年　　５月　２２日

２０１５年　　８月　３１日法的要求事項追加　項番４（番号法追加）

第２．０版２０１５年　　５月　２８日組織変更に伴う付録A更新、法的要求事項URL更新

法的要求事項更新　項番３（ISO/IEC 27001:2013 更新）第２．１版

YPM-P010 YPM-P010

＜個人情報保護マネジメントシステムの概念＞・・・・・・・・・・・・・・・・ 1

１．目的・適用範囲・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 6

２．引用規格・ガイドライン・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 7

３．用語及び定義・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 8

４．ＰＭＳ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・11

４．１　一般要求事項・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・11

４．２　ＰＭＳの確立及び運営管理・・・・・・・・・・・・・・・・・・・・・・・・11

４．３　ＰＭＳの確立・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・11

４．４　ＰＭＳの導入及び運用・・・・・・・・・・・・・・・・・・・・・・・・・・・・・17

４．５　ＰＭＳの点検・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・28

４．６　ＰＭＳの見直し・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・30

４．７　罰則・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・31

解説・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・32

以　　　上

目　　次

YPM-P010 YPM-P010


YPM－P010 YPM－P010

1／35

≪個人情報保護マネジメントシステムの概念≫

■プロセスアプローチ

当社における個人情報保護マネジメントシステム（以下、ＰＭＳとする）は、ＰＤＣＡモデル

に基づいたプロセスアプローチ（図１参照）を採用して構築する。当社のＰＭＳが、プロセスア

プローチを採用することにより、確立、導入、運用、監視、維持され、且つその有効性について

改善されることを目的とする。

【図１：プロセスアプローチ】

（重要事項及び用語について解説したものである）

プロセスとは

『インプットをアウトプットに変換するために、経営資源を使用して運営管理される活動』を

指す。

アプローチとは

『組織内に存在するプロセスを明確にし、それらの相互関係を把握し、これら一連のプロセス

をシステムとして適用して、運営管理する考え方』を指す。

プロセスアプローチとは

『組織内においてプロセスを明確にし、その相互関係を把握し、運営管理することとあわせて、

一連のプロセスをシステムとして適用すること』を指す。

プロセスアプローチによって、その利用者は下記に示す事項の重要性を明確に認識することが

できる。

① 事業上のＰＭＳ要求事項を理解し、個人情報保護方針・特定個人情報保護方針及び個人

情報・特定個人情報を保護するための内部規程を確立する必要性を理解する。

②当社における個人情報の取扱いについて、適切な管理策を導入し、運用する。

③ＰＭＳの実施状況及び有効性を点検する。

④監査結果及びその他の経営環境に基づいてＰＭＳを見直しする。

インプット

アウトプット

プロセス



2／35

■ＰＤＣＡモデル

当社では、ＰＭＳにおける管理手法として採用したプロセスアプローチを実現するための考え

方として、ＰＤＣＡモデルを適用する。

ＰＤＣＡモデルを適用することにより、ＰＭＳのプロセスが整理され、継続的な学習と改善の

機会を当社の個人情報保護管理体制に提供することができる。

Ｐｌａｎ－計画（ＰＭＳの確立）

当社の個人情報保護方針に沿った結果を出すための、管理策、プロセス及び手順を含めた

ＰＭＳを確立する。

Ｄｏ－実施（ＰＭＳの導入及び運用）

その個人情報保護方針、管理策、プロセス及び手順を導入し運用する。

Ｃｈｅｃｋ－点検（ＰＭＳの点検）

個人情報保護方針及び実際の経験に照らしてプロセスの実施状況を評価し、その結果を見

直しのために経営陣に報告する。

Ａｃｔ－処置（ＰＭＳの見直し）

ＰＭＳの継続的な改善を達成するために、マネジメントレビューを実施し、その結果に基づ

いて是正処置及び予防処置を講じる。

ＰＭＳプロセスとは

『利害関係者の要求事項及び期待をインプットに、これらの要求事項及び期待を満たすセ

キュリティの結果（運用管理されたセキュリティ）をアウトプットとして導くために必要な活

動及びプロセス』を指す。

利害関係者とは

『組織のパフォーマンス及び成功に利害関係を持つ人またはグループ』を指す。

利害関係者の要求事項とは

『例えば、利害関係者とのＳＬＡ、法的要求事項、ＰＭＳの要求事項等』を指す。



3／35

■ＰＭＳプロセスに適用されるＰＤＣＡモデル

利害関係者の要求事項及び期待をインプットとし、必要な活動及びプロセスを経て、これ

らの要求事項及び期待を満たすセキュリティの成果（すなわち運営管理されたセキュリティ）

を生み出すことを表したものが図２である。

この図はあくまで一般モデルで、当社におけるＰＭＳの維持／改善活動の体系を具体化した

ものではない。

当社のＰＭＳにおける維持／改善活動の体系（詳細なレベル）については、【図３：ＰＭＳプロ

セス全体図】にて示す。

利害関係者

要求事項

及び期待

利害関係者

運営管理

された

ｾｷｭﾘﾃｨ

ＰＭＳの確立

ＰＭＳの導入

及び運用

維持、改善

及び

改善サイクル

Plan(計画)

Do(実施)

Check(点検)

Act(改善)

【図２：ＰＭＳプロセスに適用される PDCA モデル】

ＰＭＳの点検

ＰＭＳの見直し



4／35

■ＰＭＳプロセス全体図

【図３：ＰＭＳプロセス全体図】

（１）Ｐｌａｎ

①個人情報保護方針・特定個人情報保護方針の設定

当社における個人情報保護方針を設定する。詳細については、「個人情報保護方針」

(YPM-P001)、「特定個人情報保護方針」(YPM-P002)に別途定めるものとする。

②個人情報の特定～リスク等の認識、分析及び対策

当社が保有するすべての個人情報を特定するための手順を確立し、維持するとともに

特定した個人情報・特定個人情報に関するリスク等を認識／分析し、必要な対策を講

じる手順を確立／維持するものとする。詳細については、「個人情報保護リスク管理手

順」(YPM-P500)に別途定めるものとする。

ＰＭＳ構築

個人情報保護

方針の設定

個人情報の特定～

リスク等の認識、

分析及び対策

対応計画策定･実施

有効性改善

業務活動（サービス提供）

個人情報保護方針

個人情報保護ﾘｽｸ管理手順

ＰＭＳの運用

是正･予防

マネジメントレビュー

内部監査

点検



5／35

（２）Ｄｏ

①対応計画策定・実施

上記（１）②にて認識したリスクに対して、対応する適切な管理策を策定し、実施す

る。詳細については、「個人情報保護リスク管理手順」(YPM-P500)に別途定めるものと

する。

②ＰＭＳの運用

日常業務において、当社のＰＭＳに則った運用を確実に実施する。詳細については、

「個人情報の取得に関する手順」（YPM-P200）、「個人情報の利用及び提供に関する手順」

(YPM-P210)、「個人情報の開示等に関する手順」(YPM-P220)、「個人情報の委託に関する

手順」(YPM-P230)、「個人情報保護安全対策管理手順」(YPM-P600)に別途定めるものとす

る。

（３）Ｃｈｅｃｋ

①内部監査

当社はＰＭＳの JIS Q 15001:2017への適合状況及び運用状況について、定期的に内部

監査を実施する。詳細については、「個人情報保護監査手順」(YPM-P400)に別途定める

ものとする。

②点検

当社のＰＭＳが適切に運用されているか定期的（毎日）に点検を実施する。詳細につ

いては、「個人情報保護安全対策管理手順」(YPM-P600)に別途定めるものとする。

（４）Ａｃｔ

①マネジメントレビュー

セキュリティ委員会にてマネジメントレビューを実施する。詳細については、「個人情

報保護組織管理手順」(YPM-P100)に別途定めるものとする。

②是正・予防

点検の結果、緊急事態の発生及び外部機関の指摘、苦情等による不適合の再発防止の

個人情報保護監査手順

個人情報保護ﾘｽｸ管理手順個人情報の取得に関する手順

個人情報の利用及び提供に関する手順

個人情報の開示等に関する手順

個人情報の委託に関する手順

個人情報保護安全対策管理手順

個人情報保護安全対策管理手順

個人情報保護組織手順

個人情報保護是正・予防処置手順



6／35

ために、是正処置及び予防処置を実施する。詳細については、「個人情報保護是正・予

防処置手順」(YPM-P700)に別途定めるものとする。

③有効性改善

マネジメントレビューを通じて、当社のＰＭＳの有効性について継続的に改善する。

1.目的・適用範囲

1.1 目的

本書は、当社のＰＭＳに関連する全てのプロセスが、「個人情報保護マネジメントシステム－要

求事項」の規約に適用していることを明確にするために、規定するものである。

また、本書は下記に示す事項について当社の取組みを示すものである。

（１）当社の個人情報を保護するために、十分でバランスのとれた適切なセキュリティ管理

策を確保している能力があることを実証する。

（２）ＰＭＳの継続的改善を含む、システムの効果的な適用により顧客及び他の利害関係

者に対する信頼性の向上を目指す。

1.2 適用範囲

当社における全部門の当社の役員、社員、パートタイマーを含む全ての従業員に適用する。

上記適用範囲は、当社が事業の用に供しているすべての個人情報を対象とし、個人の住所録等個

人が自己のために個人情報を取り扱っている場合は対象としない。

事業の用に供しているとは

一定の目的をもって反復継続して遂行される同種の行為であって、かつ、一般社会通念上事業

と認められるものをいい、利事業だけを対象とするものではない。従業者の個人情報は、事業

の用に供している個人情報である。

なお、倉庫業、データセンター（ハウジング、ホスティング）等の事業において、当該個人情

報が個人情報に該当するかどうか認識することなく預かっている場合は、その情報の中に含ま

れる個人情報については、事業の用に供していないといえる。



7／35

2.引用規格／ガイドライン

本書は、下記の規格／ガイドラインを引用規格として適用（最新版のみ）する。

■個人情報の保護に関する法律（以下、個人情報保護法とする）

■JIS Q 15001:2017 個人情報保護マネジメントシステム－要求事項

■「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」

■「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関

する指針」

■「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイ

ドライン」

■「情報サービス産業個人情報保護ガイドライン」

■「行政手続における特定の個人を識別するための番号の利用等に関する法律」

■「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」

（個人情報保護委員会発行）

■「特定個人情報の適正な取扱いに関するガイドライン（行政機関等・地方公共団体等編）」

（個人情報保護委員会発行）

■「特定個人情報の取扱いの対応について」

（一般財団法人日本情報経済社会推進協会（ＪＩＰＤＥＣ）発行）



8／35

3.用語及び定義

本書の目的のために、下記の用語及び定義を適用する。その他、別段の定めがある場合を除

き、個人情報保護法の第 2 条に定義があるものについては、それを準用する。

●個人情報

生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などに

よって特定の個人を識別できるもの（他の情報と容易に照合することができ、それによって特定

の個人を識別することができることとなるものを含む）をいう。

個人情報には、死者の情報も含まれるが、歴史上の人物まで対象とするものではない。

●本人

個人情報によって識別される特定の個人。

（JIS Q15001:2017を参照）

●組織

責任及び権限をもつ代表者が存在し、自らの目的を達成するため、責任、権限

及び相互関係を伴う独自の機能をもつ、個人又は人々の集まりを指す。

（JIS Q15001:2017を参照）

●個人情報保護管理者

代表者によって組織内部に属する者から指名された者であって、個人情報保護

マネジメントシステムの計画及び運用に関する責任及び権限をもつ者。

（JIS Q15001:2017を参照）

●特定個人情報保護管理者

当社では、個人情報保護管理者が兼務する。



9／35

●個人情報保護監査責任者

代表者によって組織内部に属する者の中から指名された者であって、公平、かつ、客観的な立

場にあり、監査の実施及び報告を行う責任及び権限をもつ者。

（JIS Q15001:2017を参照）

●本人の同意

本人が、個人情報の取扱いに関する情報を与えられた上で、自己に関する個人情報の取扱いに

ついて承諾する意思表示。本人が子供又は事理を弁識する能力を欠く者の場合は、法定代理人等

の同意も得なければならない。

同意とは

本人の署名、同意欄へのチェック、ウェブサイト上での同意ボタンの押下等の明示的な方法に

よって本人の意思が表示されていることが原則である。

子供とは

ここでいう子供とは、一般的に 12歳～15歳迄の年齢以下が対象となる。

事理を弁指揮する能力を欠く者とは

『判断力に懸念があると考えられる成人（成年被後見人、被保佐人、被補助人等）』を指す。

●個人情報保護マネジメントシステム（ＰＭＳ）

組織が、自らの事業の用に供する個人情報について、その有用性に配慮しつつ、個人の権利

利益を保護するための方針、体制、計画、実施、点検及び見直しを含むマネジメントシステム。

●不適合

JIS Q15001:2017の要求事項及び本マニュアルの要求事項を満たさない場合。

●個人情報保護教育責任者

代表者又は個人情報保護管理者によって組織内部の者から指名された者であって、個人情報保

護管理者を補佐して、従業者及び取り扱い委託先の教育の実施並びに報告を行う責任及び権限を

有する者をいう。



10／35

●当社：株式会社横浜電算の全部門を指す。

●全従業員

当社における全部門の役員、社員、パートタイマーを含む全ての従業員を指す。

●個人番号

番号法第７条第１項又は第２項の規定により、住民票コードを変換して得られる番号であって、

該当住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。

●特定個人情報

個人番号をその内容に含む個人情報をいう。

●特定個人情報ファイル

個人番号をその内容に含む個人情報ファイルをいう。

●個人番号利用事務

行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が、番号法第９条

（利用範囲）第１条又は第２項の規定により、その保有する特定個人情報ファイルにおいて個人

情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をい

う。

●個人情報関係事務

番号法第９条（利用範囲）第３項の規定により、個人番号利用事務に関して行われる他人の

個人番号を必要な限度で利用して行う事務をいう。

●個人番号利用事務実施者

個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をい

う。

●個人番号関係事務実施者

個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をい

う。



11／35

4.個人情報保護マネジメントシステム（ＰＭＳ）

4.1 一般要求事項

当社は、個人情報保護マネジメントシステムを確立し、実行し、維持し、かつ、改善している。

その要求事項については、本書にて規定するものとする。

4.2 ＰＭＳの確立及び運営管理

当社は、図２に示すＰＤＣＡモデルを採用してＰＭＳを構築し、このＰＭＳの要求事項に従っ

て運営管理を行う。（表１参照）

【表１：ＰＤＣＡモデルの各ステップと条項の対応】

4.3 ＰＭＳの確立

当社は、表１よりＰＭＳを確立するにあたり、図４に示す９つのフェーズを実施する。

【4.3項における参照文書一覧】

■「個人情報保護方針」 ■「特定個人情報保護方針」

■「特定個人情報等取扱規程」 ■「個人情報の利用及び提供に関する手順」

■「個人情報保護リスク管理手順」 ■「個人情報の開示等に関する手順」

■「個人情報保護組織管理手順」 ■「個人情報保護是正・予防処置手順」

■「個人情報保護安全対策管理手順」 ■「個人情報保護文書管理手順」

■「個人情報の取得に関する手順」 ■「個人情報保護記録管理手順」

■「就業規則」

4.3.1 ＰＭＳ適用範囲の決定

当社におけるＰＭＳの適用範囲は、1.2項「適用範囲」に定めるものとする。

活動

Ｃｈｅｃｋ－点検（ＰＭＳの点検）

Ｐｌａｎ－計画（ＰＭＳの確立）

Ｄｏ－実施（ＰＭＳの導入及び運用）

Ａｃｔ－処置（ＰＭＳの見直し）

「個人情報保護ﾏﾈｼﾞﾒﾝﾄｼｽﾃﾑ－

要求事項」の条項

3.7

3.2 及び 3.3

3.4～3.6

２．

3.8 及び 3.9

本書の項番

4.5

4.3

4.4

２．

4.6



12／35

4.3.2 個人情報保護方針の策定

代表者は、個人情報保護の理念を明確にしたうえで、下記の事項を含む個人情報保護方針・特

定個人情報保護方針を定めるとともに、これを実行し維持するものとする。また、この方針を文

書化し、全従業員に周知（社内ＨＰへ公開）するとともに一般の人が入手可能な措置（社外ＨＰ

へ公開）を講じるものとする。

詳細については、「個人情報保護方針」（YPM-P001）、「特定個人情報保護方針」（YPM-P002）に別途

定めるものとする。

（１）事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関する

こと【特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い（以下、

目的外利用とする）を行わないこと及びそのための措置を講じることを含む】。

（２）個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守すること。

（３）個人情報の漏えい、滅失又はき損の防止及び是正に関すること。

（４）苦情及び相談への対応に関すること。

（５）ＰＭＳの継続的改善に関すること。

（６）代表者の氏名



13／35

代表者とは

『代表権をもつ者』を指す。

個人情報保護方針とは

『個人情報保護に関する取組みを内外に宣言する公式文書』を指す。個人情報保護の理念及び経

営責任等を明確にするため、取締役会の決議を経る等一定の手続を経て定める必要がある。

特定個人情報保護方針とは

『特定個人情報保護に関する取組みを内外に宣言する公式文書』を指す。個人番号及び特定個人

情報（特定個人情報等）の適正な取扱いの確保について、組織として取り組むため、本基本方針

を定める。

個人情報保護の理念とは

『事業者が個人情報保護に取り組む姿勢や基本的考え方』を指す。

国が定める指針とは

『個人情報保護法に基づいて各所管省庁が作成したガイドライン・指針等』を指す。

4.3.3 個人情報の特定

当社は、自らの事業の用に供するすべての個人情報及び特定個人情報を特定するための手順を

確立し、かつ、維持するものとする。また、個人情報の項目、利用目的、保管場所、保管方法、

アクセス権を有する者、利用期限、保管期限などを記載した、個人情報を管理するための台帳を

整備するとともに、台帳の内容を少なくとも年一回、適宜に確認し、最新の状態で維持するもの

とする。なお、特定した個人情報については、個人データと同様に取り扱うものとする。

詳細については、「個人情報の取得に関する手順」（YPM-P200）に別途定めるものとする。

4.3.4 法令、国が定める指針その他の規範の特定

当社は、下記の事項より個人情報の取扱いに関する法令、国が定める指針その他の規範を特定

／参照できる手順を確立し、維持するものとする。

（１）特定手順

セキュリティ委員会にて、個人情報の取扱いに関する法令、国が定める指針その他

の規範における情報収集／検討を行い、特定するものとする。なお、情報収集先と

しては「解説 3 主な情報収集機構」に記載されている各機構を原則とする。

（２）参照手順

セキュリティ委員会は、特定された個人情報の取扱いに関する法令、国が定める指



14／35

針その他の規範を「法的要求事項確認書（付録Ｂ）」として取り纏めるとともに、URL

を記載し、参照可能とする。

（３）維持手順

セキュリティ委員会は、「法的要求事項確認書（付録Ｂ）」を常に最新の状態として

維持するためにその都度見直しを実施するとともに、定期的な見直しを毎年 4 月に

実施する。見直した結果、変更等があった場合には、すみやかに対応／必要に応じ

てＰＭＳへ反映させるものとする。

なお、情報収集先としては、上記（１）特定手順と同様とする。

4.3.5 リスクなどの認識、分析及び対策

当社は、特定した個人情報及び特定個人情報について、目的外利用を行わないため、必要な対

策を講じる手順を確立し、維持するものとする。また、個人情報及び特定個人情報を取り扱う各

局面（ライフサイクル）におけるリスク（個人情報の漏えい、滅失又はき損、関連する法令、国

が定める指針その他の規範に対する違反、想定される経済的な不利益及び社会的な信用の失墜、

本人への影響等のおそれ）を認識／分析するとともに、必要な対策を講じる手順を確立し、維持

するものとする。詳細については、「個人情報保護リスク管理手順」（YPM-P500）に別途定めるも

のとする。

リスクを認識するとは

『特定した個人情報及び特定個人情報の取得・入力、移送・送信、利用・加工、保管・バックア

ップ、消去・廃棄に至る個人情報の取扱いの一連の流れの各局面において、適正な保護措置を講

じない場合に想定されるリスクを洗い出すこと』を指す。

リスクを分析するとは

『洗い出したリスクを定性的な評価等によって評価すること』を指す。

4.3.6 資源、役割、責任及び権限の明確化

代表者は、ＰＭＳを確立し、実施し、維持し、かつ、改善するために不可欠な資源を用意する

とともに、ＰＭＳを効果的に実施するための役割、責任及び権限を定め、文書化し、全従業員へ

周知するものとする。また、個人情報保護管理者を当社の内部の者から指名し、ＰＭＳの実施及

び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わせるものとする。

指名された個人情報保護管理者は、ＰＭＳの見直し及び改善の基礎として、代表者へＰＭＳの運

用状況を報告するものとする。詳細については、「個人情報保護組織管理手順」（YPM-P100）に別



15／35

途定めるものとする。

4.3.7 内部規程の策定

当社は、下記の事項を含む内部規程を文書化し、維持するとともに、事業の内容に応じてＰＭ

Ｓが確実に適用されるよう内部規程を改定する。

（１）個人情報を特定する手順に関する規定。詳細については、「個人情報保護リスク管理

手順」（YPM-P500）に別途定めるものとする。

（２）法令、国が定める指針その他の規範の特定、参照及び維持に関する規定。詳細につ

いては、本書「ＰＭＳマニュアル」（YPM-P010）(に別途定めるものとする。

（３）個人情報に関するリスクの認識、分析及び対策の手順に関する規定。詳細について

は、「個人情報保護リスク管理手順」（YPM-P500）に別途定めるものとする。

（４）当社の各部門及び階層における個人情報を保護するための権限及び責任に関する規

定。詳細については、「個人情報保護組織管理手順」（YPM-P100）に別途定めるもの

とする。

（５）緊急事態（個人情報が漏えい、滅失又はき損をした場合）への準備及び対応に関す

る規定。詳細は、「個人情報保護安全対策管理手順」（YPM-P600）に別途定めるもの

とする。

（６）個人情報の取得、利用及び提供に関する規定。詳細については、「個人情報の取得に

関する手順」（YPM-P200）及び「個人情報の利用及び提供に関する手順」（YPM-P210）

に別途定める。

（７）個人情報の適正管理に関する規定。詳細については、「個人情報保護安全対策管理手

順」（YPM-P600）に別途定めるものとする。

（８）本人からの開示等の求めへの対応に関する規定。詳細については、「個人情報の開示

等に関する手順」（YPM-P220）に別途定めるものとする。

（９）教育に関する規定。詳細については、「個人情報保護教育手順」（YPM-P300）に別途


（10）ＰＭＳ文書の管理に関する規定。詳細については、「個人情報保護文書管理手順」

（YPM-P800）及び「個人情報保護記録管理手順」（YPM-P850）に別途定めるものとす

る。

（11）苦情及び相談への対応に関する規定。詳細については、「個人情報の開示等に関する


（12）点検に関する規定。詳細については、「個人情報保護安全対策管理手順」（YPM-P600）



16／35

に別途定めるものとする。

（13）監査に関する規程。詳細については、「個人情報保護監査手順」（YPM-P400）に別途


（14）是正処置及び予防処置に関する規定。詳細については、「個人情報保護是正・予防処

置手順」（YPM-P700）に別途定めるものとする。

（15）代表者による見直しに関する規定。詳細については、「個人情報保護組織管理手順」

（YPM-P100）に別途定めるものとする。

（16）内部規程の違反に関する罰則を規定。詳細については「就業規則」に別途定めるも

のとする。

4.3.8 教育及び監査等の計画の策定

当社は、ＰＭＳを確実に実施するために必要な教育、監査等の計画を年１回以上立案し、文書

化し、かつ、維持するものとする。詳細については、「個人情報保護教育手順」（YPM-P300）及び

「個人情報保護監査手順」（YPM-P400）に別途定めるものとする。

4.3.9 緊急事態への準備

当社は、緊急事態を特定するための手順、また、それらにどのように対応するかの手順を確立

し、実施し、かつ、維持するとともに、個人情報が漏えい、滅失又はき損をした場合に想定され

る経済的な不利益及び社会的な信用の失墜、本人への影響等のおそれを考慮し、その影響を最小

限とするための手順を確立し、かつ、維持するものとする。

また、個人情報の漏えい、滅失又はき損が発生した場合に備え、下記の事項を含む対応手順を確

立し、かつ、維持するものとする。詳細については、「個人情報保護安全対策管理手順」（YPM-P600）


（１）当該漏えい、滅失又はき損が発生した個人情報の内容を本人に速やかに通知し、又

は本人が容易に知り得る状態に置くこと。

（２）二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係、発生原

因及び対応策を、遅滞なく公表すること。

（３）事実関係、発生原因及び対応策を関係機関に直ちに報告すること。

（４）顧客から取り扱いの委託を受けた個人情報の漏えい、滅失又はき損に関して、直ち

に委託元に報告すること。



17／35

【図４：ＰＭＳの確立の手順】

4.4 ＰＭＳの導入及び運用

当社は、表１よりＰＭＳを導入及び運用するにあたり、図５に示す 7つのフェーズを実施する。


■「個人情報の取得に関する手順」 ■「個人情報の利用及び提供に関する手順」

■「個人情報保護安全対策管理手順」 ■「個人情報の委託に関する手順」

■「個人情報の開示等に関する手順」 ■「個人情報保護教育手順」

■「個人情報保護文書管理手順」 ■「個人情報保護記録管理手順」

4.3.1 ＰＭＳ適用範囲の決定

4.3.2 個人情報保護方針の策定

4.3.3 個人情報の特定

4.3.5 リスクなどの認識、分析及び対策

4.3.7 内部規程の策定

4.3.8 教育及び監査等の計画の策定

Ｐｌａｎ－計画

（ＰＭＳの確立）

Ｄｏ－実施

（ＰＭＳの導入

および運用）

Ｃｈｅｃｋ－点検

（ＰＭＳの点検）

Ａｃｔ－処置

（ＰＭＳの見直し）

９つのフェーズを実施

4.3.4 法令、国が定める指針その他の規範の特定

4.3.6 資源、役割、責任及び権限の明確化

4.3.9 緊急事態への準備



18／35

4.4.1 運用手順の明確化

当社は、ＰＭＳを確実に実施するために、運用の手順を明確にするものとする。

4.4.2 取得、利用及び提供に関する原則

4.4.2.1 利用目的の特定

当社は、個人情報を取得するにあたっては、その利用目的をできる限り特定し、その目的の達

成に必要な限度において行うものとする。詳細については、「個人情報の取得に関する手順」

(YPM-P200)に別途定めるものとする。

4.4.2.2 適正な取得

当社は、適法かつ公正な手段によって個人情報を取得するものとする。

4.4.2.3 要配慮個人情報

当社は、新たに要配慮個人情報を取得する場合、あらかじめ書面による本人の同意を得ないで、

要配慮個人情報を取得してはならない。ただし、次に掲げるいずれかに該当する場合には、書面

による本人の同意を得ることを除くものとする。

（１）法令に基づく場合

（２）人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得

ることが困難であるとき

（３）公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であっ

て、本人の同意を得ることが困難であるとき

（４）国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行

することに対して協力する必要がある場合であって、本人の同意を得ることによっ

て当該事務の遂行に支障を及ぼすおそれがあるとき

（５）その他、個人情報取扱事業者の義務などの適用除外とされている者及び個人情報保

護委員会規則で定めた者によって公開された要配慮個人情報、又は政令で定められ

た要配慮個人情報であるとき

当社は、要配慮個人情報の利用又は提供についても、前項と同様に実施するものとする。さ

らに、要配慮個人情報のデータの提供についても、同様に実施するものとする。

4.4.2.4 本人から直接書面によって取得する場合の措置

当社は、本人から書面（電子的方式、磁気的方式等人の知覚によっては認識できない方式で作

られる記録を含む。以下、同じ）に記載された個人情報を直接に取得する場合には、少なくとも



19／35

下記の事項又はそれと同等以上の内容の事項を、あらかじめ書面によって本人に明示し、本人の

同意を得るものとする。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合、

4.4.2.5の(1)～(4)のいずれかに該当する場合、及び 4.4.2.6の(1)～(4)のいずれかに該当する

場合は除くものとする。詳細は、「個人情報の取得に関する手順」(YPM-P200)に別途定めるも

のとする。

（１）当社名又は名称

（２）個人情報保護管理者（若しくはその代理人）の氏名又は職名、所属及び連絡先

（３）利用目的

（４）個人情報を第三者に提供することが予定される場合の事項

①第三者に提供する目的

②提供する個人情報の項目

③提供の手段又は方法

④当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性

⑤個人情報の取扱いに関する契約がある場合はその旨

（５）個人情報の取扱いの委託を行うことが予定される場合には、その旨

（６）4.4.4.4～4.4.4.7に該当する場合には、その求めに応じる旨及び問合せ窓口

（７）本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生

じる結果

（８）本人が容易に認識できない方法によって個人情報を取得する場合には、その旨

なお、ただし書きを適用する場合には、所定の書式にて適用するただし書きの項番及び適用す

る理由を記載／事前に運用・管理担当へ承認を得ることとする。

4.4.2.5 個人情報を 4.4.2.4以外の方法によって取得した場合の措置

当社は、個人情報を 4.4.2.4以外の方法によって取得した場合は、あらかじめその利用目的を

公表している場合を除き、速やかにその利用目的を本人に通知し、又は公表するものとする。た

だし、下記の事項のいずれかに該当する場合は除くものとする。詳細については、「個人情報の取

得に関する手順」(YPM-P200)に別途定めるものとする。

（１）利用目的を本人に通知し、又は公表することによって本人又は第三者の生命、身体、

財産その他の権利利益を害するおそれがある場合

（２）利用目的を本人に通知し、又は公表することによって当該事業者の権利又は正当な

利益を害するおそれがある場合

（３）国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必

要がある場合であって、利用目的を本人に通知し、又は公表することによって当該



20／35

事務の遂行に支障を及ぼすおそれがあるとき

（４）取得の状況からみて利用目的が明らかであると認められる場合

なお、ただし書きを適用する場合には、所定の書式にて適用するただし書きの項番及び適用す

る理由を記載／事前に運用・管理担当へ承認を得ることとする。

4.4.2.6 利用に関する措置

当社は、特定した利用目的の達成に必要な範囲内で個人情報を利用するものとする。特定した

利用目的の達成に必要な範囲を超えて個人情報を利用する場合は、事前に運用・管理担当へ承認

を得るとともに、あらかじめ少なくとも 4.4.2.4.の(1)～(6)に示す事項又はそれと同等以上の内

容の事項を本人に通知し、本人の同意を得るものとする。ただし、下記事項のいずれかに該当す

る場合は除くものとする。詳細については、「個人情報の利用及び提供に関する手順」(YPM-P210)


（１）法令に基づく場合。

（２）人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得

ることが困難であるとき

（３）公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって

本人の同意を得ることが困難であるとき

（４）国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行

することに対して協力する必要がある場合であって、本人の同意を得ることによっ

て当該事務の遂行に支障を及ぼすおそれがあるとき

なお、ただし書きを適用する場合には、事前に運用・管理担当へ承認を得ることとする。

4.4.2.7 本人にアクセスする場合の措置

当社は、個人情報を利用して本人にアクセスする場合には、運用・管理担当の承認を得るもの

とする。また、本人に対して 4.4.2.4の(1)～(6)に示す事項又はそれと同等以上の内容の事項、

及び取得方法を通知し、本人の同意を得るものとする。ただし、下記事項のいずれかに該当する

場合は除くものとする。詳細については、「個人情報の利用及び提供に関する手順」(YPM-P210)


（１）4.4.2.4の(1)～(6)に示す事項又はそれと同等以上の内容の事項を明示または通知

し、既に本人の同意を得ているとき

（２）個人情報の取扱いの全部又は一部を委託された場合であって、当該個人情報をその

利用目的の達成に必要な範囲内で取り扱うとき

（３）合併その他の事由による事業の承継に伴って個人情報が提供され、個人情報を提供



21／35

する事業者が既に 4.4.2.4の(1)～(6)に示す事項又はそれと同等以上の内容の事項

を明示又は通知し、本人の同意を得ている場合であって、承継前の利用目的の範囲

内で当該個人情報を取り扱うとき

（４）個人情報が特定の者との間で共同利用され、共同利用者が既に 4.4.2.4の(1)～(6)

に示す事項又はそれと同等以上の内容の事項を明示又は通知し、本人の同意を得て

いる場合であって、下記事項又はそれと同等以上の内容の事項を、あらかじめ本人

に通知し、又は本人が容易に知り得る状態に置いているとき

①共同して利用すること

②共同して利用される個人情報の項目

③共同して利用する者の範囲

④共同して利用する者の利用目的

⑤共同して利用する個人情報の管理について、責任を有する者の氏名又は名称

⑥取得方法

（５）4.4.2.5の(4)に該当するため、利用目的等を本人に明示、通知又は公表することな

く取得した個人情報を利用して、本人にアクセスするとき

（６）4.4.2.6の(1)～(4)のいずれかに該当する場合

なお、ただし書き(1)～(6)を適用する場合には、事前に運用・管理担当へ承認を得ることとする。

ただし書き(2)を適用する場合には、委託元が個人情報保護法及びガイドライン等に沿って適切に

個人情報を取り扱っているか確認するものとする。

ただし書き(4)を適用する場合には、本人が容易に知り得る状態として当社ＨＰへ掲載するものと

する。

4.4.2.8 提供に関する措置

当社は、個人情報を第三者に提供する場合には、運用・管理担当の承認を得るものとする。ま

た、あらかじめ本人に対して取得方法及び 4.4.2.4の(1)～(4)の事項又はそれと同等以上の内容

の事項を通知し、本人の同意を得るものとする。ただし、下記事項のいずれかに該当する場合は

除くものとする。詳細については、「個人情報の利用及び提供に関する手順」(YPM-P210)に別途


（１）4.4.2.4又は 4.4.2.7の規定によって、既に 4.4.2.4の(1)～(4)の事項又はそれと

同等以上の内容の事項を本人に明示又は通知し、本人の同意を得ているとき

（２）大量の個人情報を広く一般に提供するため、本人の同意を得ることが困難な場合で

あって、下記事項又はそれと同等以上の内容の事項を、あらかじめ本人に通知し、

又はそれに代わる同等の措置を講じているとき



22／35

①第三者への提供を利用目的とすること

②第三者に提供される個人情報の項目

③第三者への提供の手段又は方法

④本人の求めに応じて本人が識別される個人情報の第三者への提供を停止すること

⑤取得方法

⑥本人からの請求などを受け付ける方法

（３）法人その他の団体に関する情報に含まれる当該法人その他の団体の役員及び株主に

関する情報であって、かつ、法令に基づき又は本人若しくは当該法人その他の団体

自らによって公開又は公表された情報を提供する場合であって、前項（２）で示す

事項又はそれと同等以上の内容の事項を、あらかじめ本人に通知し、又は本人が容

易に知り得る状態に置いているとき

（４）特定した利用目的の達成に必要な範囲内において、個人情報の取扱いの全部又は一

部を委託するとき

（５）合併その他の事由による事業の承継に伴って個人情報を提供する場合であって、承

継前の利用目的の範囲内で当該個人情報を取り扱うとき

（６）個人情報を特定の者との間で共同して利用する場合であって、下記事項又はそれと

同等以上の内容の事項を、あらかじめ本人に通知し、又は本人が容易に知り得る状

態に置いているとき

①共同して利用すること

②共同して利用される個人情報の項目

③共同して利用する者の範囲

④共同して利用する者の利用目的

⑤共同して利用する個人情報の管理について、責任を有する者の氏名又は名称

⑥取得方法

（７）4.4.2.6の(1)～(4)のいずれかに該当する場合

なお、ただし書き(2)～(3)は適用しないものとする。

ただし書き(4)～(7)を適用する場合には、事前に運用・管理担当へ承認を得ることとする。

ただし書き(6)を適用する場合には、本人が容易に知り得る状態として当社ＨＰへ掲載するものと

する。

4.4.2.8.1 外国にある第三者への提供の制限

当社は、法令等に基づき、外国にある第三者に個人データを提供する場合には、あらかじめ外

国にある第三者への提供を認める旨の本人の同意を得なければならない。ただし、4.4.2.3 の(1)



23／35

～(4)のいずれかに該当する場合及びその他法令によって除外事項が適用される場合には、本人の

同意を得ることを要しない。

4.4.2.8.2 第三者提供に係る記録の作成など

当社は、個人データを第三者に提供したときは、法令等の定めるところによって記録を作成し、

保管しなければならない。ただし、4.4.2.3の(1)～(4)のいずれかに該当する場合、又は次に挙

げるいずれかに該当する場合は、記録の作成を要しない。

（１）個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの

全部又は一部を委託することに伴って当該個人データが提供される場合

（２）合併その他の事由による事業の継承に伴って個人データが提供される場合

（３）特定の者との間で共同して利用される個人データが当該特定の者に提供される場合で

あって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範

囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又

は名称について、あらかじめ、本人に通知するか、又は本人が容易に知り得る状態にお

いているとき

4.4.2.8.3 第三者提供を受ける際の確認など

当社は、第三者から個人データの提供を受けるに際しては、法令等の定めるところによって確

認を行わなければならない。ただし、4.4.2.3 の(1)～(4)のいずれかに該当する場合、又は

4.4.2.8.2の(1)～(3)のいずれかに該当する場合は、確認を要しない。

当社は、法令に定めるところによって確認の記録を作成、保管するものとする。

4.4.2.9 匿名加工情報

当社は、匿名加工情報の取扱いを行うか否かの方針を定めなければならない。

当社は、匿名加工情報を取り扱う場合には、本人の権利利益に配慮し、かつ、法令等の定める

ところによって適切な取り扱いを行う手順を確立し、かつ、維持するものとする。

4.4.3 適正管理

4.4.3.1 正確性の確保

当社は、利用目的の達成に必要な範囲内において、個人情報を正確、かつ、最新の状態で管理

するものとする。当社は、個人情報を利用する必要がなくなったときは、当該個人情報を遅滞な

く消去するものとする。詳細については、「個人情報保護安全対策管理手順」(YPM-P600)に別途定

めるものとする。



24／35

4.4.3.2 安全管理措置

当社は、その取り扱う個人情報のリスクに応じて、漏えい、滅失又はき損の防止その他の個人

情報の安全管理のために必要、かつ、適切な措置を講じるものとする。詳細については、「個人情

報保護安全対策管理手順」(YPM-P600)に別途定めるものとする。

4.4.3.3 従業者の監督

当社は、その従業者に個人情報を取り扱わせるにあたっては、当該個人情報の安全管理が図ら

れるよう、当該従業者に対し必要、かつ、適切な監督を行うものとする。詳細については、「個人

情報の委託に関する手順」(YPM-P230)に別途定めるものとする。

4.4.3.4 委託先の監督

当社は、個人情報の取扱いの全部又は一部を委託する場合、十分な個人情報の保護水準を満た

している委託先を選定するために、委託先の選定基準を確立するものとする。委託先に対しては、

委託する個人情報の安全管理が図られるよう必要、かつ、適切な監督を行うものとする。また、

契約によって下記事項を規定し、十分な個人情報の保護水準を担保するとともに、当該契約書等

の書面を少なくとも個人情報の保有期間にわたって保存するものとする。詳細については、「個人

情報の委託に関する手順」(YPM-P230)に別途定めるものとする。

（１）委託者及び受託者の責任の明確化

（２）個人情報の安全管理に関する事項

（３）再委託に関する事項

（４）個人情報の取扱状況に関する委託者への報告の内容及び頻度

（５）契約内容が遵守されていることを委託者が、定期的に、及び適宜に確認できる事項

（６）契約内容が遵守されなかった場合の措置

（７）事件・事故が発生した場合の報告・連絡に関する事項

（８）契約終了後の措置

4.4.4 個人情報に関する本人の権利

4.4.4.1 個人情報に関する権利

当社は、電子計算機を用いて検索することができるように体系的に構成した情報の集合物又は

一定の規則に従って整理、分類し、目次、索引、符号等を付すことによって特定の個人情報を容

易に検索できるように体系的に構成した情報の集合物を構成する個人情報であって、当社が、本

人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停

止の求めのすべてに応じることができる権限を有するもの（以下、4.4.4において“開示対象個



25／35

人情報”とする）に関して、本人から利用目的の通知、開示、内容の訂正、追加又は削除、利用

の停止、消去及び第三者への提供の停止（以下、“開示等”とする）を求められた場合は、4.4.4.4

～4.4.4.7 の規定によって遅滞なく応じるものとする。ただし、下記事項に該当する場合は、開示

対象個人情報ではないので除くものとする。詳細については、「個人情報の開示等に関する手順」


（１）当該個人情報の存否が明らかになることによって、本人又は第三者の生命、身体又

は財産に危害が及ぶおそれのあるもの

（２）当該個人情報の存否が明らかになることによって、違法又は不当な行為を助長し、

又は誘発するおそれのあるもの

（３）当該個人情報の存否が明らかになることによって、国の安全が害されるおそれ、他

国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関と

の交渉上不利益を被るおそれのあるもの

（４）当該個人情報の存否が明らかになることによって、犯罪の予防、鎮圧又は捜査その

他の公共の安全と秩序維持に支障が及ぶおそれのあるもの

なお、ただし書きを適用する場合には、個人情報保護管理者の承認を得るものとする。

4.4.4.2 開示等の求めに応じる手続

当社は、開示等の求めに応じる手続として下記事項を定めるものとし、本人に対して過重な負

担とならないよう配慮するものとする。詳細については、「個人情報の開示等に関する手順」


（１）開示等の求めの申し出先

（２）開示等の求めに際して提出すべき書面の様式その他の開示等の求めの方式

（３）開示等の求めをする者が、本人又は代理人であることの確認の方法

（４）4.4.4.4又は 4.4.4.5による場合の手数料（定めた場合に限る）の徴収方法

※手数料を徴収する場合、実費を勘案して合理的な範囲内にてその額を定めること

4.4.4.3 開示対象個人情報に関する事項の周知など

当社は、取得した個人情報が開示対象個人情報に該当する場合は、当該開示対象個人情報に関

し、下記事項を本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む）に置く

ものとする。詳細については、「個人情報の開示等に関する手順」(YPM-P220)に別途定めるものと

する。

（１）事業者の氏名又は名称

（２）個人情報保護管理者（若しくはその代理人）の氏名又は職名、所属及び連絡先



26／35

（３）全ての開示対象個人情報の利用目的【4.4.2.5の(1)～(3)迄に該当する場合を除く】

（４）開示対象個人情報の取扱いに関する苦情の申し出先

（５）認定個人情報保護団体の名称及び苦情の解決の申し出先

※当社の認定個人情報保護団体は、『一般財団法人日本情報経済社会推進協会

（JIPDEC）殿』となる。

（６）4.4.4.2によって定めた手続

4.4.4.4 開示対象個人情報の利用目的の通知

当社は、本人から当該本人が識別される開示対象個人情報について、利用目的の通知を求めら

れた場合には、遅滞なく応じるものとする。ただし、4.4.2.5 の(1)～(3)のいずれかに該当する場

合、又は 4.4.4.3 の(3)によって当該本人が識別される開示対象個人情報の利用目的が明らかな場

合は利用目的の通知を必要としないが、そのときは本人に遅滞なくその旨を通知するとともに理

由を説明するものとする。なお、ただし書きを適用する場合には、個人情報保護管理者の承認を

得るものとする。詳細については、「個人情報の開示等に関する手順」(YPM-P220)に別途定める

ものとする。

4.4.4.5 開示対象個人情報の開示

当社は、本人から当該本人が識別される開示対象個人情報の開示（当該本人が識別される開示

対象個人情報が存在しない時にその旨を知らせることを含む）を求められた時は、法令の規定に

よって特別の手続が定められている場合を除き、本人に対し遅滞なく当該開示対象個人情報を書

面（開示の求めを行った者が同意した方法がある時は当該方法）によって、開示するものとする。

ただし、開示することによって下記事項のいずれかに該当する場合は、その全部又は一部を開示

する必要はないが、本人に遅滞なくその旨を通知するとともに理由を説明するものとする。詳細

については、「個人情報の開示等に関する手順」(YPM-P220)に別途定めるものとする。

（１）本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

（２）当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合

（３）法令に違反することとなる場合

なお、ただし書きを適用する場合には、個人情報保護管理者の承認を得るものとする。

4.4.4.6 開示対象個人情報の訂正、追加又は削除

当社は、本人から当該本人が識別される開示対象個人情報の内容が事実でないという理由によ

って当該開示対象個人情報の訂正、追加又は削除（以下、この項において“訂正等”とする）を

求められた場合、法令の規定により特別の手続が定められている場合を除き、利用目的の達成に



27／35

必要な範囲内において遅滞なく必要な調査を行い、その結果に基づいて当該開示対象個人情報の

訂正等を行うものとする。また、訂正等を行った時は、その旨及びその内容を本人に対し遅滞な

く通知し、訂正等を行わない旨の決定をした時は、その旨及びその理由を本人に対し遅滞なく通

知するものとする。詳細については、「個人情報の開示等に関する手順」（YPM-P220）に別途定め

るものとする。

4.4.4.7 開示対象個人情報の利用又は提供の拒否権

当社は、本人から当該本人が識別される開示対象個人情報の利用の停止、消去又は第三者への

提供の停止（以下、この項において“利用停止等”とする）を求められた場合は、応じるととも

に措置を講じた後は、遅滞なくその旨を本人に通知するものとする。ただし、4.4.4.5 の(1)～(3)

のいずれかに該当する場合は利用停止等を行う必要はないが、そのときは本人に遅滞なくその旨

を通知するとともに理由を説明するものとする。なお、ただし書きを適用する場合には、個人情

報保護管理者の承認を得るものとする。詳細については、「個人情報の開示等に関する手順」


4.4.5 教育

当社は、全従業員に対して年１回以上適切な教育を行うとともに、関連する各部門及び階層に

おいて下記事項を理解させる手順を確立し、維持するものとする。また、教育の計画及び実施、

結果の報告及びそのレビュー、計画の見直し並びにこれらに伴う記録の保持に関する責任及び権

限を定める手順を確立し、実施し、かつ、維持するものとする。詳細については、「個人情報保護

教育手順」(YPM-P300)に別途定めるものとする。

（１）個人情報保護方針（内部向け個人情報保護方針及び外部向け個人情報保護方針）

（２）ＰＭＳに適合することの重要性及び利点

（３）ＰＭＳに適合するための役割及び責任

（４）ＰＭＳに違反した際に予想される結果

4.4.6 ＰＭＳ文書

4.4.6.1 文書の範囲

当社は、ＰＭＳの基本となる下記事項を書面で記述するものとする。

（１）個人情報保護方針

（２）内部規程

（３）計画書

（４）JIS Q 15001:2017が要求する記録及び当社がＰＭＳを実施する上で必要と判断した

記録



28／35

4.4.6.2 文書管理

当社は、JIS Q 15001:2017が要求する全ての文書（記録を除く）を管理する手順を確立し、実

施し、かつ、維持するものとする。文書管理の手順には、下記事項を含むものとし、詳細につい

ては、「個人情報保護文書管理手順」（YPM-P800）を別途定めるものとする。

（１）文書の発行及び改訂に関すること

（２）文書の改訂の内容と版数との関連付けを明確にすること

（３）必要な文書が必要な時に容易に参照できること

4.4.6.3 記録の管理

当社は、ＰＭＳ及び JIS Q 15001:2017の要求事項への適合を実証するために必要な下記の記録

を作成し、かつ、維持するものとする。また、記録の管理についての手順を確立・実施し、かつ、

維持するものとする。詳細については、「個人情報保護記録管理手順」（YPM-P800）を別途定める

ものとする。

（１）個人の特定に関する記録

（２）法令、国が定める指針及びその他の規範の特定に関する記録

（３）個人情報のリスクの認識、分析及び対策に関する記録

（４）計画書

（５）利用目的の特定に関する記録

（６）開示対象個人情報に関する開示等（利用目的の通知、開示、内容の訂正、追加又は

削除、利用の停止又は消去、第三者提供の停止）の求めへの対応記録

（７）教育実施記録

（８）苦情及び相談への対応記録

（９）運用の確認の記録

（10）監査報告書

（11）是正処置及び予防処置の記録

（12）代表者による見直しの記録

4.4.7 苦情及び相談への対応

当社は、個人情報の取扱い及びＰＭＳに関して本人からの苦情及び相談を受け付けて、適切か

つ迅速な対応を行う手順を確立し、かつ維持するものとする。また、上記の目的を達成するため

に必要な体制の整備を行うものとする。詳細については、「個人情報の開示等に関する手順」




29／35

【図５：ＰＭＳの導入及び運用の手順】

4.5 ＰＭＳの点検

当社は、表１よりＰＭＳを点検するにあたり、図６に示す２つのフェーズを実施する。


■「個人情報保護安全対策管理手順」 ■「個人情報保護監査手順」

4.4.2 取得、利用及び提供に関する原則

4.4.3 適正管理

4.4.4 個人情報に関する本人の権利

4.4.5 教育

4.4.6 ＰＭＳ文書

4.4.7 苦情及び相談への対応

4.4.1 運用手順の明確化

7 つのフェーズを実施Ｐｌａｎ－計画


Ｄｏ－実施

（ＰＭＳの導入及び

運用）



Ａｃｔ－処置




30／35

4.5.1 運用の確認

当社は、ＰＭＳが適切に運用されていることが当社の各部門及び階層において定期的に確認さ

れるための手順を確立し、実施し、かつ、維持するものとする。各部門及び各階層の管理者は、

定期的に、及び適宜にマネジメントシステムが適切に運用されているかを確認し、不適合が確認

された場合は、その是正処置を行うものとする。個人情報保護管理者は、代表者による個人情報

保護マネジメントシステムの見直しに資するために、定期的に、及び適宜に代表者にその状況を

報告するものとする。詳細については、「個人情報保護安全対策管理手順」（YPM-P600）に別途定

めるものとする。

4.5.2 監査

当社は、ＰＭＳの JIS Q 15001:2017への適合状況及びＰＭＳの運用状況を年１回以上監査する

ものとする。代表者は、公平、かつ、客観的な立場にある個人情報保護監査責任者を当社の内部

の者から指名し、監査の実施及び報告を行う責任及び権限を他の責任にかかわりなく与え、業務

を行わせるものとする。

個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、代表者に報告するとともに、

監査人の選定及び監査の実施においては、監査の客観性及び公平性を確保するものとする。

当社は、監査の計画及び実施、結果の報告並びにこれに伴う記録の保持に関する責任及び権限を

定める手順を確立し、実施し、かつ、維持するものとする。詳細については、「個人情報保護監査




31／35

【図６：ＰＭＳの点検の手順】

4.6 ＰＭＳの見直し

当社は、表１よりＰＭＳを見直しするにあたり、図７に示す２つのフェーズを実施する。


■「個人情報保護是正・予防処置手順」 ■「個人情報保護組織管理手順」

4.6.1 是正処置及び予防処置

当社は、不適合に対する是正処置及び予防処置を確実に実施するために、下記事項を含む責任

及び権限を定めた手順を確立し、実施し、かつ、維持するものとする。是正処置及び予防処置の

対象とする不適合は、点検の結果、緊急事態の発生、外部機関の指摘、苦情等とする。詳細につ

4.5.1 運用の確認

２つのフェーズを実施



Ｄｏ－実施

（ＰＭＳの導入

および運用）



Ａｃｔ－処置


4.5.2 監査



32／35

いては、「個人情報保護是正・予防処置手順」(YPM-P700)に別途定めるものとする。

（１）不適合の内容を確認する

（２）不適合の原因を特定し、是正処置及び予防処置を立案する

（３）期限を定め、立案された処置を実施する

（４）実施された是正処置及び予防処置の結果を記録する

（５）実施された是正処置及び予防処置の有効性をレビューする

※本レビューは、4.6.2代表者による見直しにて実施

4.6.2 代表者による見直し

代表者は、個人情報の適切な保護を維持するために、下記事項を考慮し、定期的にＰＭＳを見

直すものとする。この見直しは、年 1回以上のマネジメントレビューの開催を基本とする

（通常５月）。詳細については、「個人情報保護組織管理手順」(YPM-P100)に別途定めるものと

する。

（１）監査及びＰＭＳの運用状況に関する報告

（２）苦情を含む外部からの意見

（３）前回までの見直しの結果に対するフォローアップ

（４）個人情報の取扱いに関する法令、国の定める指針その他の規範の改正状況

（５）社会情勢の変化、国民の認識の変化、技術の進歩等の諸環境の変化

（６）当社の事業領域の変化

（７）内外から寄せられた改善のための提案



33／35

4.7 罰則

内部規定に違反した従業員に対して、就業規則に基づき懲戒を行う。

【図７：ＰＭＳの見直しの手順】

２つのフェーズを実施



Ｄｏ－実施

（ＰＭＳの導入及び

運用）



Ａｃｔ－処置

（ＰＭＳの見直し） 4.6.1 是正処置及び予防処置

4.6.2 代表者による見直し



34／35

＜解説目次＞

解説 1．組織概念図

解説 2．個人情報保護組織体制図

解説 3．主な情報収集機構

付録Ａ. JIS Q 15001と部署（機能）とのマトリックス

付録Ｂ. 法的要求事項確認書

付録Ｃ. 組織概念図

解説



35／35

解説 1 組織概念図

当社の組織概念図は、「組織概念図（付録Ｃ）」に別途定めるものとする。

解説 2 個人情報保護組織体制図

当社の個人情報保護組織体制図は、「個人情報保護組織管理手順」に別途定めるものとする。

解説 3 主な情報収集機構

●経済産業省殿

≪http://www.meti.go.jp/≫

●厚生労働省殿

≪https://www.mhlw.go.jp/index.html≫

●内閣官房情報セキュリティセンター殿（NISC）

≪http://www.nisc.go.jp/itso/≫

●＠ｐｏｌｉｃｅ殿

≪https://www.npa.go.jp/cyberpolice/≫

●一般財団法人日本情報経済社会推進協会殿（JIPDEC）

≪https://www.jipdec.or.jp/≫

●一般社団法人情報サービス産業協会殿（JISA）

≪https://www.jisa.or.jp/≫

●独立行政法人情報処理推進機構殿（IPA）

≪https://www.ipa.go.jp/≫

●ＪＰＣＥＲＴ／ＣＣ殿

≪http://www.jpcert.or.jp/≫

●個人情報保護委員会殿

≪http://www.ppc.go.jp/≫

http://www.meti.go.jp/https://www.mhlw.go.jp/index.htmlhttp://www.nisc.go.jp/itso/https://www.npa.go.jp/cyberpolice/https://www.jipdec.or.jp/https://www.jisa.or.jp/https://www.ipa.go.jp/http://www.jpcert.or.jp/http://www.ppc.go.jp/

前版からの変更点は、以下の通りである。

『ＰＭＳマニュアル』の変更履歴

版数（新）頁変更内容備考

適用規格　JIS Q 15001:2017　更新対応２．６１

YPM-P010 YPM-P010

Documents

P M S マ ニ ュ ア ル 第2．6版YPM－P010 YPM－P010 5／35 個人情報の利用及び提供に関する手順 （2）Do 個人情報の委託に関する手順 ①対応計画策定・実施

P M S マニュアル第2．6版YPM－P010 YPM－P010 5／35 個人情報の利用及び提供に関する手順（2）Do 個人情報の委託に関する手順 ①対応計画策定・実施