|
プライバシーマークについて(JIS Q 15001:2006) 3/6
プライバシーマーク付与認定基準「JIS Q 15001」の改定について (2018/2/2更新 2017/12/22 2017/9/24)
改正個人情報保護法が施行されて、プライバシーマークの認定基準であるJISQ15001も改定されることは公表されておりましたが、
それが、いつになるのかと気になっていたところですが、ついに、ドラフト版がJISQ15001:2017が正式に公開されました。
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=JIS%20Q%2015001:2017
これによりますと、改訂JISQ15001:2017は、国際規格ISOとの整合化を図り、ISOマネジメントのシステムの上位構造(HLS)、 共通テキスト(要求事項)に基づく内容となりました。
https://www.jsa.or.jp/dev/iso_mngment03/
規格要求事項(箇条4〜10)の部分は、JISQ27001(SIO27001)の情報セキュリティマネジメントシステムを個人情報保護マネジメントシステムに読み替えた程度の違いしかありません。
これまでのJISQ15001の中で示されていた個人情報の取り扱いに関する具体的な取り組みは、「附属書A」の管理目的及び管理策の中で示されています。
また、「附属書B」があって、「附属書A」を補完する形で「〜が望ましい。」との表現で示されていますが、
「個人情報保護マネジメントシステム実施のためのガイドライン」に書かれていたような内容で、今後のPマーク付与認定の審査基準になっていくものと思います。
附属書A、附属書Bを、どのように取り組むかが、PMS構築の重要な要素になります。
その”審査基準”が「プライバシーマーク付与適格性審査基準」として発表されました。
今後、これをもとにした審査が行われると考えて差し支えないでしょう。
https://privacymark.jp/system/guideline/pdf/pm_shinsakijun.pdf
記載内容は、「附属書A」に対応して、「審査項目」「確認方法・エビデンス」が書かれており、具体的に何を実施すべきかが細かく書かれています。
規格本文の箇条4〜10の要求事項に関係なく、審査基準が事実上の要求事項となっています。
例えば、規格本文で要求されていなくとも、この”審査基準”に書かれていることが実施しなければ不適合となってしまうわけです。一方で、規格本文での要求が”審査基準”内に明記されていないもののあったります。
また、「附属書C」では、”安全管理処置に関する管理目的及び管理策”が示されています。
この内容は、JISQ27001(ISO27701)の附属書Aの管理目的・管理策を個人情報保護マネジメントシステムに当てはめたものとなっており、事実上、ISMSと同じだと言えます。
しかし、”審査基準”には、”安全管理措置を決定するための参考”と明言していますので、あまり気にすることはないようです。
今回のJIS Q 15001 の改定における「規格要求事項 箇条4〜10」、及び、「附属書C」は、ただ、国際規格に体裁を合わせるための付け加えたに過ぎず、「附属書A」が”主文”という感じです。
プライバシーマーク付与認定基準「JIS Q 15001」と言うのは過ちで、プライバシーマーク付与認定基準は、「JIS Q 15001 附属書A」に基づく「プライバシーマーク付与適格性審査基準」であるということをしっかり認識する必要があります。
これにより、個人情報保護マネジメントシステム(PMS)と情報セキュリティマネジメントシステム(ISMS)との統合が極めて容易となることは間違いないと思います。
と、思っていましたが、Pマークは、やっぱり、Pマークの路線で進めることを余儀なくされそうです。
ただ、プライバシーマーク制度は、日本国内規格(JIS規格)に基づくもので、でJIPDECプライバシーマーク推進センターが審査基準を定めることになりますから、国際規格の元での審査基準との乖離が気になります。
との懸念が、当たってしましました。
今後の審査方針等が示されるものと思いますが、旧15001:2006に基づいて、個人情報保護マネジメントシステム(PMS)を構築されていた方については、大幅な改定作業が必要になるかも知れません。
おそらく、『あまり、大きな変更をしなくとも、旧審査基準と新審査基準の差を埋める程度で、新規格への移行が可能になります。』ということで、Pマーク離れを食い止めようとの活動が展開されていくものと思います。
一方で、既に、ISMSを認証取得した事業者では、「個人情報取扱規程」なるものを追加する程度で、Pマーク付与認定が受けやすくなるかも?知れません。
(※本ページに書かれてプライバシーマークに関する情報は、JISQ15001:2006に基づくものです。今後、動向を見て、ホームページの修正など検討していきます。)
|
プライバシーマークは、「JIS Q 15001:個人情報保護マネジメントシステム−要求事項」に基づく個人情報の管理ができていることを証明するものです。
このJIS規格は、我が国の工業標準化法に基づいて日本工業標準調査会の審議を経て制定された国家規格であり、個人情報保護法の施行後の改定で、個人情報保護法を包括した内容となっています。
JIS Q 15001は、その名前の通り、個人情報を保護するための「マネジメントシステム」を構築するための規格です。定義の中では「事業者が自ら保有する個人情報を保護するための方針、組織、計画、実施、監査及び見直しを含むマネジメントシステム」と書かれています。
「マネジメントシステム」とは、「事業者が、ある目的に向かって、組織的に、計画的に、継続的に、効果的に、行動する仕組み」です。
マネジメントシステムにおける概念モデルとしてよく次のような図が示されます。
まずは「方針」を定めること。その後、その方針を実現するための「計画(Plan)」を策定、「実施(Do)」し、状況を「監査(Check)」、必要があれば「見直し(Action)」を行なう。マネジメントシステムとは、Plan-Do-Check-Action」を継続的に繰り返すことであることを示しています。
プライバシーマークの使用許諾を得るには、このJIS規格に基づいた個人情報管理システムを構築しなければなりません。
このJIS規格には下記見出しの極めて基本的なことしか書かれていません。
具体的な要求事項は3.1〜3.9で示され、たかだかA4サイズで10ページしかありません。
詳細の運営に関しては、各企業の状況に応じて定めていく必要があるのです。
JIS Q 15001(見出し抜粋)
|
1 |
適用範囲 |
|
|
2 |
用語および定義 |
|
|
3 |
要求事項 |
|
|
3.1 |
一般要求事項 |
|
|
3.2 |
個人情報保護方針 |
|
|
3.3 |
計画
個人情報の特定、リスクなどの認識、分析及び対策
法令、国が定める指針その他の規範
資源、役割、責任及び権限
緊急事態への準備 など |
|
Plan |
3.4 |
実施及び運用
利用目的の特定、適正な取得
特定の機微な個人情報の取得、利用及び提供の制限
本人から直接書面によって取得する場合の措置
[前項]以外の方法によって取得した場合の措置
利用に関する措置、提供に関する措置
本人にアクセスする場合の措置
正確性の確保、安全管理措置
従業員の監督、委託先の監督
開示等の求めに応じる手続き
教育 など |
|
Do |
3.5 |
個人情報保護マネジメントシステム文書
文書管理、記録の管理 など |
3.6 |
苦情及び相談への対応 |
3.7 |
点検
運用の確認、監査 |
|
Check |
3.8 |
是正処置及び予防処置 |
|
Action |
3.9 |
事業者の代表者による見直し |
|
例えば、個人情報の漏えい等を防ぐための安全対策・セキュリティー対策については「3.4.3.2 安全管理措置」として、「事業者は、その取り扱う個人情報のリスクに応じて、漏えい、滅失またはき損の防止その他の個人情報の安全管理のために必要、かつ、適切な措置を講じなければならない。」としか書かれていません。
具体的にどのような安全対策を実施すれば良いかなどと言ったことはどこにも書かれていません。
個人情報のリスクを明確にして、リスクに応じたレベルの安全管理を、れれぞれで考え実施していく必要があるのです。ぞれの要求事項を理解し、要求を満たすための手順を定め、それらを文書化し、また、それらの文書が「管理」に値する手順を定めて扱う必要があります。
全てが、事業者が判断して定めるのですが、これが客観的に見て適切である必要があるのです。
※JIS Q 15001は(財)日本規格協会や大手書店で購入することができます。
==========================
プライバシーマークに関する詳細は
(財)日本情報処理開発協会
プライバシーマーク事務局のホームページをご覧下さい。
http://privacymark.jp/
==========================
|
|