|
プライバシーマークについて(JIS Q 15001:2006) 5/6
プライバシーマーク付与認定基準「JIS Q 15001」の改定について (2018/2/2更新 2017/12/22 2017/9/24)
改正個人情報保護法が施行されて、プライバシーマークの認定基準であるJISQ15001も改定されることは公表されておりましたが、
それが、いつになるのかと気になっていたところですが、ついに、ドラフト版がJISQ15001:2017が正式に公開されました。
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=JIS%20Q%2015001:2017
これによりますと、改訂JISQ15001:2017は、国際規格ISOとの整合化を図り、ISOマネジメントのシステムの上位構造(HLS)、 共通テキスト(要求事項)に基づく内容となりました。
https://www.jsa.or.jp/dev/iso_mngment03/
規格要求事項(箇条4〜10)の部分は、JISQ27001(SIO27001)の情報セキュリティマネジメントシステムを個人情報保護マネジメントシステムに読み替えた程度の違いしかありません。
これまでのJISQ15001の中で示されていた個人情報の取り扱いに関する具体的な取り組みは、「附属書A」の管理目的及び管理策の中で示されています。
また、「附属書B」があって、「附属書A」を補完する形で「〜が望ましい。」との表現で示されていますが、
「個人情報保護マネジメントシステム実施のためのガイドライン」に書かれていたような内容で、今後のPマーク付与認定の審査基準になっていくものと思います。
附属書A、附属書Bを、どのように取り組むかが、PMS構築の重要な要素になります。
その”審査基準”が「プライバシーマーク付与適格性審査基準」として発表されました。
今後、これをもとにした審査が行われると考えて差し支えないでしょう。
https://privacymark.jp/system/guideline/pdf/pm_shinsakijun.pdf
記載内容は、「附属書A」に対応して、「審査項目」「確認方法・エビデンス」が書かれており、具体的に何を実施すべきかが細かく書かれています。
規格本文の箇条4〜10の要求事項に関係なく、審査基準が事実上の要求事項となっています。
例えば、規格本文で要求されていなくとも、この”審査基準”に書かれていることが実施しなければ不適合となってしまうわけです。一方で、規格本文での要求が”審査基準”内に明記されていないもののあったります。
また、「附属書C」では、”安全管理処置に関する管理目的及び管理策”が示されています。
この内容は、JISQ27001(ISO27701)の附属書Aの管理目的・管理策を個人情報保護マネジメントシステムに当てはめたものとなっており、事実上、ISMSと同じだと言えます。
しかし、”審査基準”には、”安全管理措置を決定するための参考”と明言していますので、あまり気にすることはないようです。
今回のJIS Q 15001 の改定における「規格要求事項 箇条4〜10」、及び、「附属書C」は、ただ、国際規格に体裁を合わせるための付け加えたに過ぎず、「附属書A」が”主文”という感じです。
プライバシーマーク付与認定基準「JIS Q 15001」と言うのは過ちで、プライバシーマーク付与認定基準は、「JIS Q 15001 附属書A」に基づく「プライバシーマーク付与適格性審査基準」であるということをしっかり認識する必要があります。
これにより、個人情報保護マネジメントシステム(PMS)と情報セキュリティマネジメントシステム(ISMS)との統合が極めて容易となることは間違いないと思います。
と、思っていましたが、Pマークは、やっぱり、Pマークの路線で進めることを余儀なくされそうです。
ただ、プライバシーマーク制度は、日本国内規格(JIS規格)に基づくもので、でJIPDECプライバシーマーク推進センターが審査基準を定めることになりますから、国際規格の元での審査基準との乖離が気になります。
との懸念が、当たってしましました。
今後の審査方針等が示されるものと思いますが、旧15001:2006に基づいて、個人情報保護マネジメントシステム(PMS)を構築されていた方については、大幅な改定作業が必要になるかも知れません。
おそらく、『あまり、大きな変更をしなくとも、旧審査基準と新審査基準の差を埋める程度で、新規格への移行が可能になります。』ということで、Pマーク離れを食い止めようとの活動が展開されていくものと思います。
一方で、既に、ISMSを認証取得した事業者では、「個人情報取扱規程」なるものを追加する程度で、Pマーク付与認定が受けやすくなるかも?知れません。
(※本ページに書かれてプライバシーマークに関する情報は、JISQ15001:2006に基づくものです。今後、動向を見て、ホームページの修正など検討していきます。)
|
プライバシーマーク申請・審査・費用、コンサルティング料金等
個人情報保護マネジメントシステム文書(以下PMS文書)を作成し、一通りの運用によって問題なければ、指定された申請書、登記簿謄本又は抄本等の公的書類、会社案内、PMS文書などを添えて、(財)日本情報処理開発協会
プライバシーマーク事務局、もしくは、地域の指定機関、民間事業者が所属する事業者団体が指定機関となっている場合は当該指定機関に申請します。
詳細は、(財)日本情報処理開発協会 プライバシーマーク事務局のホームページをご覧下さい。
事務局では、申請書を受理しますと、書類審査の後、現地調査を実施した上で、認定の可否の決定を行ないます。
現地調査では、代表者への個人情報保護方針の内容等についてのインタビューやPMSの運用状況、例えば、リスク認識ができているか、各部屋への入退室管理・書庫や引出しの鍵管理は適切にできているか、データのバックアップ状況、コンピュータアクセスログのチェック等のセキュリティ対策はできているか、社員への教育は実施できているか、監査は適切に実施されたかなどについて細かく調査されます。
申請から審査・認定までの期間は、審査の混み具合によりますが、通常は4カ月〜6カ月ほどと見込んでおくと良いでしょう。
プライバシーマーク取得にかかる費用
1、申請費用
プライバシーマークの申請費用は、事業者規模によって異なります。
下記表は平成16年12月1日に改訂され適用されている料金ですが、今後も変更されるかも知れませんので、(財)日本情報処理開発協会 プライバシーマーク事務局で確認してください。
新規申請時 |
|
事業者の規模別料金 |
小規模事業者 |
中規模事業者 |
大規模事業者 |
申請料 |
50,000円 |
50,000円 |
50,000円 |
審査料 |
200,000円 |
450,000円 |
950,000円 |
マーク使用料 |
50,000円 |
100,000円 |
200,000円 |
合 計 |
300,000円 |
600,000円 |
1,200,000円 |
更新時 |
|
事業者の規模別料金 |
小規模事業者 |
中規模事業者 |
大規模事業者 |
申請料 |
50,000円 |
50,000円 |
50,000円 |
審査料 |
120,000円 |
300,000円 |
650,000円 |
マーク使用料 |
50,000円 |
100,000円 |
200,000円 |
合 計 |
220,000円 |
450,000円 |
900,000円 |
・マーク使用料は、2年間の料金
・別途、現地調査にかかる交通費、宿泊費が必要
・現地審査料が所定時間を越える場合は、追加費用が必要となります。 |
なお、事業者規模の区分は、以下のとおりです。
1、大規模事業者
中規模事業者の規模を超える事業者。
2、中規模事業者(下記2.参照)の規模を超える事業者。
下記表の資本金、従業員何れか一方を満たす事業者
|
製造業その他 |
卸売業 |
小売業 |
サービス業 |
資本金 |
3億円以下 |
1億円以下 |
5千万円以下 |
5千万円以下 |
従業員 |
300人以下 |
100人以下 |
50人以下 |
100人以下 |
3、小規模事業者
常時使用する従業員の数が二十人以下の事業者
(商業、サービス業を主たる事業者については五人以下)
*詳細は、(財)日本情報処理開発協会 プライバシーマーク事務局のホームページをご覧下さい。
2、コンサルティング料金
上記の費用に加えて、コンサルティングを受ける場合にはコンサルティングに掛る費用が必要となってきます。
もちろん、独力によって取得することも不可能ではありませんが、効率的・効果的に作業を進めるには上手にコンサルタントを活用 する方が望ましいと思います。
(*少なくとも、審査前の運用監査は客観的な視点、スムーズな審査の観点からもコンサルタントに依頼されることをお勧めします。)
コンサルティング料金は、コンサルタント会社によって、事業者の規模や取り扱う個人情報の内容、支援方法などによって異なってきます。一概には言えませんが、一通りの支援を受けることになれば、小規模事業者を対象とした場合でも100万円近くになるでしょう。
しかし、最近は、数多くの当社同様の小規模事業者や個人で活動するコンサルタントが登場し、相当安い料金を提示されることもあるようですが、コンサルティング料はまさに人件費そのものですから、どれほどの価値と時間を提供してくれることになるかをしっかりと考えて、料金に捉われない選択をしていただきたいと思います。
実績なども含めて、遠慮せずに各社に問い合わせてみるといいでしょう。
3、その他の費用
PMSに基づいた運用体制を整えるため、また、例えばセキュリティー対策などの整備にかけなければならない費用なども考えておかなければなりません。
さらに、認定を受けた後に、プライバシーマークの名刺や会社案内への印刷などの費用も発生しますし、2年後毎の更新、マーク使用料、定期的な監査費用(外部監査を利用する場合)なども必要となります。
==========================
プライバシーマークに関する詳細は
(財)日本情報処理開発協会
プライバシーマーク事務局のホームページをご覧下さい。
http://privacymark.jp/
==========================
|
|