JIS改正に伴うプライバシーマーク(PMS)変更の留意点②

~規格本文の概要と附属書A~

新JIS 本文の構成

プライバシーマーク付与に係る JIS Q 15001:2017が、昨年12月20日に改正された。新JISの要求事項は、本文とその管理策を記載した附属書Aが規程部分となる。そして、附属書Aの理解を助ける内容として、管理策に関する補足が附属書B「参考」、安全管理措置に関する管理目的及び管理策が附属書C「参考」となり、附属書Dは新JISと旧JIS(2006 年版)の対照表という構成になっている。また情報セキュリティマネジメントシステム(ISMS)の JIS Q 27001:2014が参照となる規格である。ここでは規格「本文」の構成について記す。

構成は、0. 序文、1. 適用範囲、2. 引用規格、3. 用語及び定義、4. 組織の状況、5. リーダーシップ、6. 計画、7. 支援、8. 運用、9. パフォーマンス評価、10. 改善である。章立てと項番まで、ISMSの JIS Q 27001:2014と同様である(情報セキュリティと個人情報保護の用語が異なるのみ)。これらの項目がプライバシーマーク審査基準となる附属書Aに各々紐付けられている。

JIS Q 15001:2017 規格

本文と附属書Aとの関係では、規程となる本文の各項目と附属書Aの要求事項を見てみる。

  1. 序文: 序文は、概要と他のマネジメントシステム規格との近接性が記されている。
  2. 適用範囲: 組織(事業者)が自らの事業の用に供している個人情報に関するマネジメントシステムを確立し、実施し、維持し、かつ改善するための要求事項について規定する。
  3. 引用規格: 引用規格はない。
  4. 用語と定義:用語と定義については3.1から3.46まであり3.38まではJIS Q 27001と近似し、3.39本人から3.46リスク所有者までの 8 項目がJIS Q 15001固有のものである。ここで記載されている用語と定義は、他のマネジメントシステムの附属書SLとの近接性が保たれている。蛇足ながら用語に対して違和感があるとすれば、ISMSが国際規格であるISO 27000との整合性が図られ、日本語に翻訳されているため、私たちには馴染みにくい表現になっているのかもしれないが、このまま受け止めるしかないだろう。
  5. 組織の状況:4.1組織及びその状況の理解、4.2利害関係者のニーズ及び期待の理解、4.3個人情報保護マネジメントシステムの適用範囲の決定、4.4個人情報保護マネジメントシステム。ここで、旧JISとの対照では一般要求事項、法令、国が定める指針その他の規範の遵守、個人情報の特定が重なる。附属書AではA 3.1.1 一般とA 3.3.1 個人情報の特定、A3.3.2 法令、国が定める指針その他の規範が対応する。なお、利害関係者とは、「ある決定事項・活動に影響を与え得るか、影響を受け得る個人又は組織」と定義されている。
  6. リーダーシップ:5.1リーダーシップ及びコミットメント、5.2方針、5.2.1内部向け個人情報保護方針、5.2.2外部向け個人情報保護方針、5.3組織の役割、責任及び権限。リーダーシップ及びコミットメント、組織の役割、責任及び権限については、A3.3.4資源、役割、責任及び権限が対応し、個人情報保護責任者と個人情報保護監査責任者に責任と権限を割り当てるとしている。方針は、A3.2個人情報保護方針で新JISでは内部向けと外部向けに区分されている。(実質は内外への区分はなく同一のもので良い)
  7. 計画:6.1リスク及び機会に対処する活動、6.1.1一般、6.1.2個人情報保護リスクアセスメント、6.1.3個人情報保護リスク対応、6.2個人情報保護目的及びそれを達成するための計画策定。リスク及び機会に対処する活動は、A3.3.5 内部規程で旧JISのa)からo)項までと変わりはない。個人情報保護リスクアセスメント、リスク対応は、A3.3.3 リスクアセスメント及びリスク対策として、特定した個人情報について利用目的の達成に必要な範囲を超えた利用を行わないため、必要な対策を講じる。そしてリスクを特定し、分析し、必要な対策を講じる手順を確立維持し、未対応部分は残留リスクとして管理する。計画策定は、A3.3.6 計画策定で教育と内部監査の計画立案を行う(年1回)。
  8. 支援:7.1資源、7.2力量、7.3認識、7.4コミュニケーション、7.5文書化した情報、7.5.1一般、7.5.2作成及び更新、7.5.3文書化した情報の管理。資源と力量は、A3.3.4 資源、役割、責任及び権限で前述(5.1)の通り。認識は、A3.4.5 認識で教育において、PMSの重要性及び利点、役割及び責任、PMSに違反した際に予想される結果、という旧規格に個人情報保護方針の教育が追加された。コミュニケーションは、A3.3.7緊急事態への準備が対応する。文書化した情報は、PMS文書とその範囲、記録の管理である。
  9. 運用:8.1運用の計画及び管理、8.2個人情報保護リスクアセスメント、8.3個人情報保護リスク対応 (注:8.2と8.3項と6.1.2と6.1.3項の名称は同じ表記である)。運用は、A3.4実施及び運用で運用の手順、利用目的の特定。個人情報保護リスクアセスメントとリスク対応は、A3.4.2.2適正な取得、以下、要配慮個人情報、個人情報を取得した場合の措置、本人から直接書面によって取得する場合の措置、利用に関する措置、個人に連絡又は接触する場合の措置、個人データの提供に関する措置、外国にある第三者への提供の制限、第三者提供に係る記録の作成、第三者提供を受ける際の確認、匿名加工情報。A3.4.3適正管理では、正確性の確保、安全管理措置、従業者の監督、委託先の監督まで。A3.4.4個人情報に関する本人の権利では、個人情報に関する権利、開示等の請求等に応じる手続き、保有個人データに関する事項の周知、保有個人データの利用目的、保有個人データの開示、保有個人データの訂正、追加又は削除、保有個人データの利用又は提供の拒否権。A3.6苦情及び相談への対応までとなっている。
  10. パフォーマンス評価:9.1監視、測定、分析及び評価、9.2内部監査、9.3マネジメントビュー。A3.7パフォーマンス評価は、これまでの点検である。監視、測定、分析及び評価は、A3.7.2内部監査。マネジメントビューは、A3.7.3代表者の見直しである。
  11. 改善:10. 1不適合及び是正処置、10.2継続的改善。A3.8是正処置については、旧規格の予防処置が削除された。その意味は、予防処置はPMS全体を回すことが予防処置と解釈するからであろう。そして旧規格では是正処置の後に代表者の見直しが位置していた。それが新規格では是正と継続的改善が入れ替わり、最終の要求事項とされた。※ なお、特定個人情報(マイナンバー)についてはとりわけ記述はない。すでに「番号法」で規定されているため。

 附属書Aに関する変更点

全体を通して、旧規格との比較をまとめる。他のマネジメントシステム(附属書SL)との整合を図ったものを列挙すると附属書Aへの反映は――

A3.1一般、A3.3.3リスクアセスメント及びリスク対策、A3.4.2.4及びA3.4.2.5個人情報を取得した場合の措置、A3.4.2.7本人に連絡又は接触する場合の措置、A3.4.5認識、A3.5文書化した情報、A3.7パフォーマンス評価、A3.7.2内部監査、A3.7.3マネジメントレビュー、A3.8是正処置の各項目である。

続いて、個人情報保護法改正に伴う変更では、附属書Aへの反映は――

A3.4.2.3要配慮個人情報、A3.4.28個人データの提供に関する措置、A3.4.2.8.1外国にある第三者への提供の制限、A3.4.2.8.2第三者提供に係る記録の作成、A3.4.2.8.3第三者提供を受ける際の確認、A3.4.2.9匿名加工情報、A3.4.4.2開示等の請求等に応じる手続、A3.4.4.3保有個人データに関する事項の周知など、A3.4.4.4保有個人データの利用目的の通知に関する事項、A3.4.4.5保有個人データの開示、A3.4.4.6保有個人データの訂正、追加又は削除、A3.4.4.6保有個人データの利用又は提供の拒否権、の各項目である。

旧JISとの用語対比

附属書Dによる新・旧JISの用語対比は以下の通りである。(太字が新規格の用語)

  • 組織: 事業者、
  • トップマネジメント: 代表者・事業者の代表者、
  • 個人情報リスク: リスク、
  • 個人情報リスクアセスメント: リスクの分析、
  • 個人情報リスク対応: リスクの対策、
  • 残留リスク:残存リスク・認識、
  • 教育など: 教育、
  • 文書化した情報: 個人情報保護マネジメントシステム文書、
  • 文書化した情報(記録を除く): 文書、
  • 文書化した情報のうち記録: 記録、
  • 運用: 実施及び運用、
  • 本人に連絡又は接触する: 本人にアクセスする、
  • パフォーマンス評価: 点検・代表者による見直し、
  • 内部監査: 監査、
  • マネジメントレビュー: 代表者による見直し、
  • 是正処置: 是正処置及び予防処置

このように新JISは構成が大きく変わり、ボリュームも2006年版の2倍となった。しかし、2006年版におけるPMSと2017年版での個々の事業者のPMSで変更を強いられる点はそれほど多くはないようである。新JISへの対応を今後行う際に、規格の本文を咀嚼し、個人情報保護方針を見直すとともに、これまでのPMSで基本となる規程(基本マニュアル)は項番の変更と移動、下位規程類の手直しと用語の整合性を図られたい。

改正法による変更点としては、①個人情報の台帳の再整備、②共同利用、③委託、④従業者への教育の項目追加、⑤運用の確認(自主点検)等の整理を行えば、最低限の対応はできよう。附属書BとCは規定ではないが、PMS管理策と安全管理策であるので十分参考にされたい。なお、新JISの解説、プライバシーマークの審査基準等、事業者への情報提供は、順次JIPDECから説明会やガイドブック等によってなされるので、詳細はそれらを参照されたい。

(文 : ジャグラ プライバシーマーク審査センター長 斎藤成)

【参考】新 JIS Q 15001:2017 の URL
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=JIS Q 15001:2017

関連記事