改正法への対応等 主な変更点は4項目に
はじめに
プライバシーマーク付与に係る JIS Q 15001:2017 が、昨年12月20日に改正された。「JIS Q15001 2017年版が12月に大幅改正」で概要を記したが、(一財)日本情報経済社会推進協会(JIPDEC)より、1月12日付けでプライバシーマーク付与適格性審査基準が公表された。JIPDECでは既にプライバシーマークを付与されている事業者にとって、自社のPMS規程類の大きな変更の必要はないとしている。しかし、2017年版要求事項は、2006年版と構成が大きく変更されている。さらに使われている用語も異なる。各付与事業者の規程(PMS)を改定される際には規格の本文を参考に附属書Aへの対応が求められる。そこで、今回の改正に伴うPMS変更の留意点をJIPDECの公表資料を元に示すので、今後の対応の目安とされたい。
大きな変更点は、規格の本文が他のマネジメントシステムとの近接性を図るため、規格の冒頭にISO/IEC専門業務指針第1部統合版ISO補足指針「附属書 SL」が2017版の本文となっている。さらに附属書A(規定)、参考として附属書B、C、Dがある。改正 JISでの主な変更点は、附属書Aにおいて次の4項目となる。
- 改正個人情報保護法への対応
- 個人情報の管理台帳に追記する事項に「保管期限」の明記
- 従業者の教育に盛り込む必要がある事項としての「個人情報保護方針
- 運用の確認として日常点検や、それに伴う是正、代表者への報告など
また、該当する事業者には、「共同利用について、共同利用者間における契約で定める事項」及び「委託契約に盛り込むべき事項」として(委託契約終了後の措置)がある。
新設された要求事項
改正法への対応で新設された点は、要配慮個人情報(A3.4.2.3)、トレーサビリティの確保(A3.4.2.8.2 及びA3.4.2.8.3)、オプトアウト規制の強化(A3.4.2.8)、外国事業者への第三者提供(A3.4.2.8.1)、個人データの消去の努力義務(A3.4.3.1)、匿名加工情報(A3.4.2.9)の 項目がある。順次、変更点をみていく。
要配慮個人情報(A3.4.2.3)
保護法改正により新設されたことに伴い、新規格においても項目が新設された。
「要配慮個人情報」の定義は個人情報保護法によるため、従来の「特定の機微な個人情報」とは定義が異なる。2006年版では、a) 思想,信条又は宗教に関する事項、b) 人種,民族,門地,本籍地(所在都道府県に関する情報を除く。),身体・精神障害,犯罪歴その他社会的差別の原因となる事項、c) 勤労者の団結権,団体交渉その他団体行動の行為に関する事項、d)集団示威行為への参加,請願権の行使その他の政治的権利の行使に関する事項、e) 保健医療又は性生活に関する事項となっていたが、保護法ガイドラインでは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、身体・心身障害、健康診断結果、本人を被疑者又は被告人として刑事事件に関する手続き、少年法で保護処分等の手続きが行われたこと。
――が対象となる。
トレーサビリティの確保(A3.4.2.8.2 及びA3.4.2.8.3)
第三者提供に係る記録の作成、第三者提供を受ける際の確認で、個人データを第三者に提供したときは、法令等の定めにより記録を作成し保管する。第三者から個人データの提供を受けるに際しては法令等の定めによって確認を行う。
オプトアウト規制の強化(A3.4.2.8)
提供において、本人の同意を得ることが困難な場合で、本人の同意を得ることを要しない条件(ただし書き)が変更された。
本人に通知し,本人の同意を得ることを要しない場合に限定していることとし、本人の同意を得ることが困難な場合であって,法令等が定める手続きに基づいた上で次に示す事項又はそれと同等以上の内容の事項を,あらかじめ,本人に通知するか,又はそれに代わる同等の措置を講じているとき
- 第三者への提供を利用目的とすること
- 第三者に提供される個人データの項目
- 第三者への提供の手段又は方法
- 本人の請求などに応じて当該本人が識別される個人データの第三者への提供を停止すること
- 取得方法
- 本人からの請求などを受け付ける方法
(以下略) とされた。
ここでは本人への通知書面、個人情報の特定の記録、同意を得ずに第三者に提供している場合、当該提供がA3.4.2.8のただし書きに該当することの説明が必要となる。
外国事業者への第三者提供(A3.4.2.8.1)
外国にある第三者に個人データを提供する場合、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得ていること。同意を要しないのは、要配慮個人情報のA 3.4.2.a)~d)及びその他の法令の除外事項に限定される。
個人データの消去の努力義務(A3.4.3.1)
個人情報の正確性の確保で、個人情報は正確かつ最新の状態で管理し、事業者が定めた保管期限を過ぎた個人情報の消去とその記録をとる必要がある。
匿名加工情報(A3.4.2.9)
法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
- 法律で定めた当該個人情報に含まれる記述等の一部を削除すること。
- 法律で定めた当該個人情報に含まれる個人識別符号の全部を削除すること。
匿名加工情報を取り扱うか否かによるが、取り扱う場合は、手順を文書化する必要がある。
新JISでの主な変更点
次に、2006年版からの主な変更点で事業者に求められることは、個人情報保護方針の追加(A3.2.1)、個人情報の特定で台帳の整備(A 3.3.1)、個人情報保護監査責任者と個人情報保護管理者の分離(A3.3.4)、共同利用についての契約(A3.4.2.8)、委託契約・選定(A3.4.3.4)、従業者に認識させる事項「個人情報保護方針」(A3.4.5)、各部門及び階層における運用の確認(A3.7.1)となる。
個人情報保護方針の追加(A3.2.1、A3.2.2)
旧規格3.2の個人情報保護方針は、内部向け個人情報保護方針と外部向け個人情報保護方針に整理された。方針を周知する対象を「組織内に伝達し、必要に応じて利害関係者が入手可能」としている。加えて制定年月日及び最終改正年月日、問合わせ先についても明記する。方針の周知の対象を「一般の人が入手可能」としているが、新たに方針に追加する必要はないが『利害関係者』が追加された点は注意を要する。
※ここでいう利害関係者とは、委託先や協業相手などの取引先などが考えられる。
個人情報の特定で台帳の整備(A3.3.1)
個人情報管理台帳に保管期限が追加され、件数が削除された。
保管期限が記載されていない場合は、台帳に保管期限の項目を追加し、期限を定める必要がある。なお、件数はリスクの把握に必要となる。件数を含める場合は概数で問題はない。
個人情報保護監査責任者と個人情報保護管理者の分離(A3.3.4)
新規格では、個人情報保護監査責任者と個人情報保護管理者を分離することが明確になった。ただ、従来から両者は兼務できないとしているので規程の変更の必要はない。
共同利用についての契約(A3.4.2.8)
A3.4.2.8でいう共同利用は、A3.4.2.7における定義に基づく。個人データを第三者に提供する場合であって、本人の同意を必要としないただし書きf)に該当する項目として、共同利用の場合、共同利用について共同利用者間で契約で定めていることが追加された。
委託契約・選定(A3.4.3.4)
契約によって規定する事項に、h)契約終了後の措置が追加された。従来の規程で委託先との契約にh)を盛り込むこと。
従業者に認識させる事項「個人情報保護方針」(A3.4.5)
従業者に認識させる事項として「個人情報保護方針(内部向け、外部向け)を教育内容に追加すること。
各部門及び階層における運用の確認(A3.7.1)
日常業務について各部門及び各階層の管理者は、定期的に運用の確認を行い、不適合が発見された場合は、是正処置を行っているかどうかを確認する。個人情報保護管理者が、運用の確認の状況を、定期的に、及び適宜にトップマネジメントに報告する必要がある。
※ここでいう日常的な運用確認とは、A3.7.2における年一回の内部監査ではなく、例えば入退室の記録の定期的な確認や、アクセスログの定期的な確認など、日常的な運用確認のことを指す。それによって気づいた点(残留リスクの顕在化や、対応出来ていないリスク対策など)があれば、是正する必要がある。内容によっては、年一度のマネジメントレビューを待たずに、適宜に代表者に報告をする必要がある。
以上のようにJIPDECが公表した新JISへの対応で主な変更点を記した。冒頭記したように2006年版から2017年版への移行に際しては、まず JISの本文の趣旨を理解されたい。本文の趣旨は附属書Aに反映され、具体的な要求事項は、2006年版の要求事項と共通性を持たせている(参考:附属書D 目次対応表、用語対応表)。
そこで、できれば項番は2017年版に準拠されたい。⇒各社の規程類でJISの項番とは異なって付番しているケースや「第〇条」といった表記は改め、項番もJISにならって、例えばA3.4.2.3……という表記に統一され、2017年版の通りに付番することをお勧めする。
(文:ジャグラ プライバシーマーク審査センター長 斎藤成)
【参考】新 JIS Q 15001:2017のURL
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=JIS Q 15001:2017