|
プライバシーマークについて(JIS Q 15001:2006) 4/6
プライバシーマーク付与認定基準「JIS Q 15001」の改定について (2018/2/2更新 2017/12/22 2017/9/24)
改正個人情報保護法が施行されて、プライバシーマークの認定基準であるJISQ15001も改定されることは公表されておりましたが、
それが、いつになるのかと気になっていたところですが、ついに、ドラフト版がJISQ15001:2017が正式に公開されました。
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=JIS%20Q%2015001:2017
これによりますと、改訂JISQ15001:2017は、国際規格ISOとの整合化を図り、ISOマネジメントのシステムの上位構造(HLS)、 共通テキスト(要求事項)に基づく内容となりました。
https://www.jsa.or.jp/dev/iso_mngment03/
規格要求事項(箇条4〜10)の部分は、JISQ27001(SIO27001)の情報セキュリティマネジメントシステムを個人情報保護マネジメントシステムに読み替えた程度の違いしかありません。
これまでのJISQ15001の中で示されていた個人情報の取り扱いに関する具体的な取り組みは、「附属書A」の管理目的及び管理策の中で示されています。
また、「附属書B」があって、「附属書A」を補完する形で「〜が望ましい。」との表現で示されていますが、
「個人情報保護マネジメントシステム実施のためのガイドライン」に書かれていたような内容で、今後のPマーク付与認定の審査基準になっていくものと思います。
附属書A、附属書Bを、どのように取り組むかが、PMS構築の重要な要素になります。
その”審査基準”が「プライバシーマーク付与適格性審査基準」として発表されました。
今後、これをもとにした審査が行われると考えて差し支えないでしょう。
https://privacymark.jp/system/guideline/pdf/pm_shinsakijun.pdf
記載内容は、「附属書A」に対応して、「審査項目」「確認方法・エビデンス」が書かれており、具体的に何を実施すべきかが細かく書かれています。
規格本文の箇条4〜10の要求事項に関係なく、審査基準が事実上の要求事項となっています。
例えば、規格本文で要求されていなくとも、この”審査基準”に書かれていることが実施しなければ不適合となってしまうわけです。一方で、規格本文での要求が”審査基準”内に明記されていないもののあったります。
また、「附属書C」では、”安全管理処置に関する管理目的及び管理策”が示されています。
この内容は、JISQ27001(ISO27701)の附属書Aの管理目的・管理策を個人情報保護マネジメントシステムに当てはめたものとなっており、事実上、ISMSと同じだと言えます。
しかし、”審査基準”には、”安全管理措置を決定するための参考”と明言していますので、あまり気にすることはないようです。
今回のJIS Q 15001 の改定における「規格要求事項 箇条4〜10」、及び、「附属書C」は、ただ、国際規格に体裁を合わせるための付け加えたに過ぎず、「附属書A」が”主文”という感じです。
プライバシーマーク付与認定基準「JIS Q 15001」と言うのは過ちで、プライバシーマーク付与認定基準は、「JIS Q 15001 附属書A」に基づく「プライバシーマーク付与適格性審査基準」であるということをしっかり認識する必要があります。
これにより、個人情報保護マネジメントシステム(PMS)と情報セキュリティマネジメントシステム(ISMS)との統合が極めて容易となることは間違いないと思います。
と、思っていましたが、Pマークは、やっぱり、Pマークの路線で進めることを余儀なくされそうです。
ただ、プライバシーマーク制度は、日本国内規格(JIS規格)に基づくもので、でJIPDECプライバシーマーク推進センターが審査基準を定めることになりますから、国際規格の元での審査基準との乖離が気になります。
との懸念が、当たってしましました。
今後の審査方針等が示されるものと思いますが、旧15001:2006に基づいて、個人情報保護マネジメントシステム(PMS)を構築されていた方については、大幅な改定作業が必要になるかも知れません。
おそらく、『あまり、大きな変更をしなくとも、旧審査基準と新審査基準の差を埋める程度で、新規格への移行が可能になります。』ということで、Pマーク離れを食い止めようとの活動が展開されていくものと思います。
一方で、既に、ISMSを認証取得した事業者では、「個人情報取扱規程」なるものを追加する程度で、Pマーク付与認定が受けやすくなるかも?知れません。
(※本ページに書かれてプライバシーマークに関する情報は、JISQ15001:2006に基づくものです。今後、動向を見て、ホームページの修正など検討していきます。)
|
プライバシーマーク取得のプロセス・手順
プライバシーマークを取得するためには、まずは、JIS Q 15001に基づくマネジメントシステムの要素(JISで要求される必要な事項)を文書化しなければなりません。また、認証を受けるためには、文書を整備するのみでなく、文書化したルールに基づいた運用実績を積んで、マネジメントサイクルとして機能している必要があります。
これら個人情報保護のための一貫した行動が「個人情報保護マネジメントシステム」(以下「PMS」)であり、文書化されたものを「マネジメントシステム文書」(以下「PMS文書」)と言います。
充分な時間をかけて綿密な準備が必要となります。
マネジメントシステムの構築手順は概ね次の通りです。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
1、経営者(経営層)の意思表明
個人情報保護への取り組みは、幾人かの優秀な社員が取り組めば完成するというものではありません。全ての社員がその必要性を認識し、全社体制で取り組む必要が有ります。
また、これまでの業務の進め方にメスを入れたり、場合によっては、就業規則の変更も必要となったりします。
経営者が、個人情報の不適切な取扱が企業の存続にも影響し得ることを認識し、全社をあげて取り組む決意を全社員に向けて表明します。
2、プロジェクトチームの発足
個人情報を扱う部門のキーマンをメンバーとしたプロジェクトチームを編成します。
- (1)個人情報保護管理者(必須)
-
個人情報保護の推進の総責任者です。
経営者から個人情報保護に関する全権委譲を受け、対外的に責任を果たせる人材が必要です。
- (2)各業務の代表者
- 実際に個人情報を収集して利用している業務担当部門を代表する者で、業務の流れを把握している必要があります。
- (3)情報システム担当責任者
-
自社の情報システムの状況を把握できる人材で、情報システム上の個人情報管理やシステム面でのセキュリティーなどの対策に関する責任者です。
- (4)教育担当責任者
-
個人情報保護は、社員全員がその必要性を認識し、必要な知識を持ち合わせておかなければなりません。ルールを定めても、それが有効に機能するためには、従業員への教育は不可欠です。
- (5)監査責任者(必須)
-
プロジェクトの推進を客観的に把握するともに、運営段階において定期的な監査を行なう立場の責任者です。客観性を担保するため、直接的に同プロジェクトに関わるより、少し距離ある位置に置く事が望ましいでしょう。
- (6)専任事務局員
-
各種情報を収集したり、部門間の調整を図ったり、文書を作成したり等々、様々な作業が必要となります。上記責任者の指示の元で、具体的な作業を行なう人材です。
日常業務の傍らで推進しようとしても、必ずと言っていいほど失敗しますので、必須と認識する方がいいと思います。
- (7)コンサルタント
-
客観性、網羅性、効率性など考えたとき、個人情報保護に関する専門的な知識を持ち合わせた外部コンサルタントの活用が望ましいと思います。
(絶対要件ではありませんが、JISQ15001を認証基準にしているとは言うものの、審査機関独自の基準に基づく審査が行われるために、審査の実態を知っていなければ、相当な労力を要することになると思われます。)
|
(2)(3)(4)の担当者は、企業の規模や扱う個人情報の量、それぞれの職務内容に応じて兼任することも構わないでしょう。
また、それぞれに責任者の元にワーキング・グループを設けて、推進するのも効果的です。
3、個人情報の特定
従業員個人が保有するものを含めて、企業内に存在するあらゆる個人情報を洗い出し、その収集目的を再定義し、管理対象とする個人情報を絞り込みます。
不要な情報は廃棄しましょう。
4、リスクの分析、リスク応じた対策案の検討
漏洩、紛失、改ざんなどの危険性とそれによって受ける企業の損失(社会的信用の低下、業務停止等の実損等)を把握し、リスクに応じた安全管理方法を検討します。
5、個人情報保護方針の策定
経営者の宣言文という位置付けのものですが、企業経営における経営方針に相当するもので、PMSの核として全従業員に周知を徹底するとともに、対外的に広く公開するものです。
6、PMS文書(基本規程、詳細規程、運用マニュアル等)の作成
現状の業務手順を把握した上で、必要な業務改善なども配慮し、規定や運用マニュアルを作成します。
他の法令や規定(個人情報保護法はもとより、各省庁や業界団体が提供するガイドライン等)との関連や、情報システムのセキュリティー技術に関する対応など考慮したとき、コンサルタント会社が提供する雛形を活用することは大変有効ですが、コンサルタント会社に丸投げにしたり、雛形をそのまま適用させようとすると、形は整っても、企業の実情にそぐわない内容となり、実際の運用において様々な障害が発生すること予想されます。
あくまでも参考として活用し、自社の実情に沿ったPMS文書を策定する必要があります。
7、PMS文書に基づく実施体制の再構築
PMS文書に基づいた運用がきちんと遂行される体制を整えるため、組織の改編やセキュリティー上の整備、Webページの対応、場合によっては建築物の改装、入退室認証システムの導入などの大掛かりな対応も必要となります。また、従業員への周知も大切な作業となります。
8、運用
マネジメントシステムは規定類を作って終りではありません。実際に運用できることが不可欠であり、申請前に、一通り運用して問題のないことを確認しておく必要があります。
この運用には、当然に、”内部監査”や”代表者による見直し”も含まれていなければならず、少なくとも、一ヶ月間以上の運用後、内部監査を通じて、PMSに基づいた運用が確かであることを確認するとともに、代表者の見直しなどを通じて、問題点を是正しておきます。
9、申請
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
通常、これらの作業を進めるためには、事業所の規模、対象とする個人情報の質と量、プロジェクトチームの稼動状況によっても異なりますが、4ヶ月〜半年の期間を見込んでおく必要があります。
==========================
プライバシーマークに関する詳細は
(財)日本情報処理開発協会
プライバシーマーク事務局のホームページをご覧下さい。
http://privacymark.jp/
==========================
|
|