|
プライバシーマークについて(JIS Q 15001:2006) 1/6
プライバシーマーク付与認定基準「JIS Q 15001」の改定について (2018/2/2更新 2017/12/22 2017/9/24)
改正個人情報保護法が施行されて、プライバシーマークの認定基準であるJISQ15001も改定されることは公表されておりましたが、
それが、いつになるのかと気になっていたところですが、ついに、ドラフト版がJISQ15001:2017が正式に公開されました。
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=JIS%20Q%2015001:2017
これによりますと、改訂JISQ15001:2017は、国際規格ISOとの整合化を図り、ISOマネジメントのシステムの上位構造(HLS)、 共通テキスト(要求事項)に基づく内容となりました。
https://www.jsa.or.jp/dev/iso_mngment03/
規格要求事項(箇条4〜10)の部分は、JISQ27001(SIO27001)の情報セキュリティマネジメントシステムを個人情報保護マネジメントシステムに読み替えた程度の違いしかありません。
これまでのJISQ15001の中で示されていた個人情報の取り扱いに関する具体的な取り組みは、「附属書A」の管理目的及び管理策の中で示されています。
また、「附属書B」があって、「附属書A」を補完する形で「〜が望ましい。」との表現で示されていますが、
「個人情報保護マネジメントシステム実施のためのガイドライン」に書かれていたような内容で、今後のPマーク付与認定の審査基準になっていくものと思います。
附属書A、附属書Bを、どのように取り組むかが、PMS構築の重要な要素になります。
その”審査基準”が「プライバシーマーク付与適格性審査基準」として発表されました。
今後、これをもとにした審査が行われると考えて差し支えないでしょう。
https://privacymark.jp/system/guideline/pdf/pm_shinsakijun.pdf
記載内容は、「附属書A」に対応して、「審査項目」「確認方法・エビデンス」が書かれており、具体的に何を実施すべきかが細かく書かれています。
規格本文の箇条4〜10の要求事項に関係なく、審査基準が事実上の要求事項となっています。
例えば、規格本文で要求されていなくとも、この”審査基準”に書かれていることが実施しなければ不適合となってしまうわけです。一方で、規格本文での要求が”審査基準”内に明記されていないもののあったります。
また、「附属書C」では、”安全管理処置に関する管理目的及び管理策”が示されています。
この内容は、JISQ27001(ISO27701)の附属書Aの管理目的・管理策を個人情報保護マネジメントシステムに当てはめたものとなっており、事実上、ISMSと同じだと言えます。
しかし、”審査基準”には、”安全管理措置を決定するための参考”と明言していますので、あまり気にすることはないようです。
今回のJIS Q 15001 の改定における「規格要求事項 箇条4〜10」、及び、「附属書C」は、ただ、国際規格に体裁を合わせるための付け加えたに過ぎず、「附属書A」が”主文”という感じです。
プライバシーマーク付与認定基準「JIS Q 15001」と言うのは過ちで、プライバシーマーク付与認定基準は、「JIS Q 15001 附属書A」に基づく「プライバシーマーク付与適格性審査基準」であるということをしっかり認識する必要があります。
これにより、個人情報保護マネジメントシステム(PMS)と情報セキュリティマネジメントシステム(ISMS)との統合が極めて容易となることは間違いないと思います。
と、思っていましたが、Pマークは、やっぱり、Pマークの路線で進めることを余儀なくされそうです。
ただ、プライバシーマーク制度は、日本国内規格(JIS規格)に基づくもので、でJIPDECプライバシーマーク推進センターが審査基準を定めることになりますから、国際規格の元での審査基準との乖離が気になります。
との懸念が、当たってしましました。
今後の審査方針等が示されるものと思いますが、旧15001:2006に基づいて、個人情報保護マネジメントシステム(PMS)を構築されていた方については、大幅な改定作業が必要になるかも知れません。
おそらく、『あまり、大きな変更をしなくとも、旧審査基準と新審査基準の差を埋める程度で、新規格への移行が可能になります。』ということで、Pマーク離れを食い止めようとの活動が展開されていくものと思います。
一方で、既に、ISMSを認証取得した事業者では、「個人情報取扱規程」なるものを追加する程度で、Pマーク付与認定が受けやすくなるかも?知れません。
(※本ページに書かれてプライバシーマークに関する情報は、JISQ15001:2006に基づくものです。今後、動向を見て、ホームページの修正など検討していきます。)
|
個人情報保護法の施行以降、個人情報の保護に対する関心は確実に高まり、個人情報漏えいなどの事故は、毎日のように新聞・TVで報じられれています。
個人情報の取り扱いを外部委託する際には、委託先に対して適切な個人情報保護対策を要求するようにもなりました。
個人情報の不適切な管理が、企業の信用を著しく低下させ、 企業間取引の中止や新規事業のへの機会の損失、莫大な損害賠償請求を受けるなど、場合によっては企業の存続をも危ぶまれる状況になりかねない時代となっています。
この様な状況の中で、企業は個人情報を保護するための取り組みを余儀なくされているわけですが、如何に個人情報保護対策を講じるのか、 またその後に、適切な個人情報保護を講じている事実をどのように対外的にアピールするかについては重要な関心事になるものと思います。
これに応えるのがプライバシーマークです。(略して「Pマーク」とも言われます。)
プライバシーマークを簡単に言えば「個人情報の取扱いが適切であることを第三者機関が認定する。」ものです。
もう少し詳しく説明しますと、経済産業省の外郭団体である(財)日本情報処理開発協会(JIPDEC)、及び、 JIPDECが指定した機関が、「JISQ15001:個人情報保護マネジメントシステム−要求事項」 に基いた個人情報の管理体制が構築され実施されていることを審査し、合格した企業にプライバシーマークの使用を許可する制度です。
<経緯>
1980年にOECD 個人情報保護に関するガイドラインが示されたのを受けて、1989年、通商産業省(現経済産業省)は
「民間部門における個人情報保護のためのガイドラインを」示しましたが、あまり浸透しませんでした。
1995年に、個人情報保護に関するEU指令が採択され、その中で、「EU加盟各国以外への個人情報移転は、
その国が十分なレベルの保護措置を講じている場合に限られる。」といういわゆる第三国条項への対応を迫られ、
1997年、通商産業省(現経済産業省)は先のガイドラインを改訂し「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」を告示します。
翌1998年、このガイドラインの普及を図るため、通商産業省(現経済産業省)の外郭団体である(財)日本情報処理開発協会(JIPDEC)が、
同ガイドラインに基づいた個人情報の管理体制を構築する企業等を認定する制度を立ち上げます。
1999年、個人情報マネジメントシステムに関する
「JISQ15001:個人情報保護に関するコンプライアンス・プログラムの要求事項」が制定され、
これ以降、プライバシーマーク制度はこのJISに基づくものと変更されました。
2003年、個人情報保護法が成立、2005年より施行されたことによって、個人情報保護への関心が高まり、プライバシーマーク認証取得事業者も急速に増加しました。しかし、JISQ15001の要求事項と個人情報保護法の間には幾分かの違いが見られました。
2006年、JISQ15001は、個人情報保護法の内容との整合性を高めるためために改訂され、名称も「個人情報保護マネジメントシステム−要求事項」とされました。
==========================
プライバシーマークに関する詳細は
(財)日本情報処理開発協会
プライバシーマーク事務局のホームページをご覧下さい。
http://privacymark.jp/
==========================
|
|