改正個人情報保護法への対応、ISO共通要素を採用
プライバシーマーク付与に係るJIS Q15001が2017年12月20日に改正されたので、その概要をまとめておきます。
なお JISの要求事項については、(一財)日本規格協会が発行した JIS Q15001:2017を確認してください。
規格文書の構成変更
規格は本文と付属書A~Dで構成された、全体で 66頁に及ぶものとなった。2006年版は解説まで含め32頁だったので倍のボリュームである。そして、マネジメントシステム共通構造を採用したことで特にISMS(情報セキュリティマネジメントシステム ISO Q 27000:2014)の要求事項との近接性が図られることになった。また、昨年5月30日に改正された個人情報保護法に対応することになった。用語及び定義を改正法に合わせると共に追加された要求事項がある。
ISOの共通テキストに合わせて10章立ての構成に変更された。これはISOでは規格文書の基本構造を統一するために、2012 年以降に制定、改正されるマネジメントシステム規格は原則として、「ISO-MS規格の共通要素」を採用することを義務付けられたことによる。
新JISでは本文と附属書A~Dという構成になった。
- 「附属書A」
要求事項:管理目的及び管理策 2006 年版とほぼ同内容 - 「附属書B」(参考)
管理策に関する補足⇒従来の解説に相当する内容 - 「附属書C」(参考)安全管理措置に関する管理目的及び管理策
附属書Aと関連 - 「附属書D」(参考)
2006 年版と規格本文との 新旧対比表
プライバシーマーク付与に係る部分は本文と附属書Aが「規定」とされる(必須)。附属書Cは、附属書A:安全管理措置の参考と位置付けられる。
改正個人情報保護法及びガイドライン対応
改正法では、新たに①匿名加工情報(ビッグデータ)、②国外にある第三者への提供の制限③第三者提供におけるトレーサビリティの確保等、必要な条項が、「附属書A」の中で追加された。加えて、個人情報保護委員会から4つのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、匿名加工情報編)が公表され、これらの内容への対応も求められる。
次に用語については、“事業者”が“組織”に、“リスクの認識、分析”が“個人情報保護リスクアセスメント”、“機微な個人情報”が“要配慮個人情報”、“開示対象個人情報”が“保有個人データ”、“教育”が“認識”、“点検”が“パフォーマンス評価”、“運用の確認”が“監視、測定、分析及び評価”、“代表者による見直し”が“マネジメントレビュー”というように置き換えられた。
規格本文の内容
プライバシーマーク付与事業者が驚かれる点は、おそらく用語ががらりと変わったことだろう。ISOの共通要素に準拠したため、項番の名称においても、組織、利害関係者、トップマネジメント、力量、文書化した情報、プロセス、パフォーマンス、測定、分析モデル、属性、基本測定値、導出測定値、事象、起こりやすさ、測定値、測定の関数、測定方法、対象物、尺度、脅威、ぜい弱性、リスク所有者、リーダシップ、リスク及び機会、個人情報保護リスクアセスメント、支援、力量、マネジメントレビューといった要求項目で使われる用語ではないだろうか。詳細の記載は省くがこれらの用語はISMSと相対している。
附属書Aの概要
プライバシーマーク付与の基本的な要求事項、従来 PMS諸規程はこの附属書Aに準拠していると考えていい。2006年版との違いは項番が異なるため、従前の諸規程の細分箇条を変更しなければならない。附属書Aは表形式となっておりA.3.1からA.3.8 まであるが、ここでは項番名称を記すに留める。
- A.3.1 般
- A.3.2 個人情報保護方針(内部向け、外部向け)
- A.3.3 計画(個人情報の特定、法令、国が定める指針その他の規範、リスクアセスメント及びリスク対策、資源、役割、責任及び権限、内部規程、計画策定、緊急事態への準備)
- A.3.4 実施及び運用(運用手順)
- 取得、利用及び提供に関する原則:
利用目的の特定、適正な取得、要配慮個人情報、個人情報を取得した場合の措置、本人から直接書面によって取得する場合の措置、利用に関する措置、本人に連絡又は接触する場合の措置、個人データの提供に関する措置、外国にある第三者への提供の制限、第三者提供に係る記録の作成など、第三者提供を受ける際の確認など、匿名加工情報 - 適正管理:
正確性の確保、安全管理措置、従業者の監督、委託先の監督 - 個人情報に関する本人の権利:
個人情報に関する権利、開示等の請求等に応じる手続、保有個人データに関する事項の周知など、保有個人データの利用目的の通知、保有個人データの開示、保有個人データの訂正、追加又は削除、保有個人データの利用又は提供の拒否権、認識
- 取得、利用及び提供に関する原則:
- A.3.5 文書化した情報(文書化した情報の範囲、文書化した情報(記録を除く)の管理、文書化した情報のうち記録の管理)
- A.3.6 苦情及び相談への対応(苦情及び相談への対応)
- A.3.7 パフォーマンス評価(運用の確認、内部監査、マネジメントレビュー)
- A.3.8 是正処置(是正処置)
以上が、大項目で各々詳細な要求項目が列挙されている。
附属書B、Cについて
管理策に関する附属書Bは、「参考」の形で管理策に関する補足が附属書Aの項番に従って説明されている。
附属書Cは、「参考」の形で附属書Aの安全管理措置として説明されている。
◎安全管理措置に関する管理目的及び管理策(項目)
- C5. 個人情報セキュリティのための方針群
- C6. 個人情報セキュリティのための組織
- C7. 人的資源のセキュリティ
- C8. 資産の管理
- C9. アクセス制御
- C10. 暗号
- C11. 物理的及び環境的セキュリティ
- C12. 運用のセキュリティ
- C13. 通信のセキュリティ
- C14. 個人情報システムの取得、開発及び保守
- C15. 供給者関係
- C16. 個人情報セキュリティインシデント管理
- C17. 事業継続マネジメントにおける個人情報セキュリティの側面
- C18. 遵守
さて、上記のように2006年版からの改正は附属書Aについての内容に大きな変化はないとされているが、具体的にプライバシーマーク付与事業者に係る自社のPMS改正作業は簡単ではないと推測される。また、プライバシーマーク付与適格性審査における審査内容も変更は必至である。JIPDECはもとよりジャグラとしても今後2017年版移行へあたっての情報提供は行っていく。近々、審査基準を公表し、セミナー等の開催による啓発、新ガイドブックの発行も予定している。いずれにせよ、10年振りとなるJIS大幅改正への対処・移行をスムーズに行って戴きたい。一層の個人情報保護と利活用の側面、情報セキュリティ面の強化が法規制を伴って求められていることから、私たち情報の処理・加工に携わる一員としての責務と捉え、今回の改正に臨んで戴きたい。