１．JISQ15001:2017とは？

JISQ15001（個人情報保護マネジメントシステム 要求事項）とは、個人情報を安全に適切に管理するための日本工業規格（JIS）のことです。

JISQ15001の要求を満たして、個人情報保護するために、適切な仕組みがあると判断された事業者には、日本情報経済社会推進協会(JIPDEC)から、プライバシーマーク（Pマーク）の使用が認可され付与されます。

また、JISQ15001:2017の2017とは、改訂した年を表す数字となりますので、2017年に改訂しましたという意味になります。

ちなみに2023年現在で2017年度版は最新の規格となっています。

２．Pマーク2017年度版改訂のポイント

〈JISQ15001:2006〉から〈JISQ15001:2017〉へ規格が改訂されました。

大きな変更点は、これまで他の規格とは異なる並びをしていた規格要求事項が、ISO規格と似た並びに変更された点が挙げられます。

要求事項の並びがISO規格と似た並びになった背景には、ISO規格とPマークを同時に認証している企業も多いため、要求事項の並びが類似している方が運用しやすいという事情があったと言われてます。

また今回の〈JISQ15001:2017〉への改訂により、マニュアルへの反映が必要になる附属書Ａに加え、参考書として附属書Ｂ、Ｃ、Ｄが追加されました。

なかでも附属書Ａでの主な変更点は、以下の３項目になります。

1. 改正個人情報保護法への対応
2. 個人情報の管理台帳に追記する事項に「保管期限」の記載が要求化
3. 従業者の教育に盛り込む必要がある事項として新たに「個人情報保護方針」が追加

さらに、新たに項目が追加にもなったものが以下として、例を挙げます。

• A.3.4.2.8 　　個人データの提供に関する措置
• A.3.4.2.8.1 　外国にある第三者への提供の制限
• A.3.4.2.8.2 　第三者提供に係る記録の作成など
• A.3.4.2.8.3 　第三者提供を受ける際の確認など
• A.3.4.2.9 　　匿名加工情報

その他にも、「仮名加工情報の追加」や、「直接書面で個人情報を受け取る際の措置」と「それ以外取得を行う際の措置」に対する項番の順序が入れ替わったりと、変化は多岐にわたります。

３．JISQ15001:2017要求事項の構成

下記の通り、要求事項の構成がISO規格と似た並びになっています。

◆本文
０　序文
１　適用範囲
２　引用規格
３　用語及び定義
４　組織の状況

4.1　組織及びその状況の理解
4.2　利害関係者のニーズ及び期待の理解
4.3　個人情報保護マネジメントシステムの適用範囲の決定
4.4　個人情報保護マネジメントシステム

５　リーダーシップ

5.1　リーダーシップ及びコミットメント
5.2　方針
5.3　組織の役割，責任及び権限

６　計画

6.1　リスク及び機会に対処する活動
6.2　個人情報保護目的及びそれを達成するための計画策定

７　支援

7.1　資源
7.2　力量
7.3　認識
7.4　コミュニケーション
7.5　文書化した情報

8　運用

8.1　運用の計画及び管理
8.2　個人情報保護リスクアセスメント
8.3　個人情報保護リスク対応

9　パフォーマンス評価

9.1　監視，測定，分析及び評価
9.2　内部監査
9.3　マネジメントレュー

１０　改善

10.1　不適合及び是正処置
10.2　継続的改善

◆附属書Ａ（規定）管理目的及び管理策
◆附属審Ｂ（参考）管理策に関する補足
◆附属書Ｃ（参考）安全管理措置に関する管理目的及び管理策
◆附属書Ｄ（参考）新旧対応表
◆参考文献
◆解　説

「JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項」

４．2022年施行の改正個人情報保護法への対応

プライバシーマークの初版は1999年に制定されました。

その後2006年の改正を経て、最新版は2017年に制定された「JISQ15001:2017」となっています。

こういった改正や変更は、例えば電子化、大容量化、通信の高速化等、情報通信に関する環境の変化に合わせて、また、今回のように個人情報保護法の改正にリンクして行われることが多いです。

そういった背景もあり、2022年4月よりプライバシーマークにおける「個人情報保護マネジメントシステム構築・運用指針」に改正個人情報保護法の内容が追加され公表されました。

ただし、2022年4月改正では、規格の中身は変更されていません。
端的に説明すると審査対象（審査基準）が変更されました。
これまでは対象外となっていた本文内容も審査対象となりましたので、対応を行う必要があります。

しかし、これまでのプライバシーマークの運用が変わるというものではありません。

個人情報管理台帳の作成や委託先の評価、教育の実施などは従来通りです。

例えば、教育を行う際の共有しなければならない事項も2017年改訂時から変化はありません。

運用内容に変更はありませんが、JISQ15001:2017本文への対応を行うための規程の作成、規定内容の変化に伴う内部監査実施時の適合性監査チェックリストなどは変える必要があります。

また、審査機関へ提出する申請書についても、これまでと変更されている箇所があります。
一部審査機関では、使用している様式と項番の照らし合わせが必要となりますが、その並びはJISQ15001:2017本文と同じです。

これまで作成をしていた方にとっては、見慣れない並びになっていて戸惑うかもしれませんが、マニュアルの改訂や申請書の対応は必要となります。

５．【2022年4月〜】新しい審査基準の変更点について解説

2022年4月からの新しい審査基準の変更点は多々あり、業種による運用の変更点がありますが、今回は、すべての事業者が対応必須で、運用で変更となる項目のうち、サンプルとして４点だけ確認していきます。

１、漏えい等報告・本人通知
①
改正前　：保有個人データの開示は原則書面交付
改正後　：保有個人データの開示方法について、
電磁的記録の提供を含め、本人が指示できる
運用変更：A.3.4.4.2 開示等の請求等に応じる手続　(1)受付手順
A.3.4.4.5 保有個人データの開示
HPの開示等の手続きについて
ポイント：保有個人データを開示するときは、請求する方が指定した開示方法で開示する必要がある

②
改正前　：第三者提供記録は、本人による開示請求の対象外
改正後　：第三者提供記録は、本人による開示請求の対象に含まれる
運用変更：HPの開示等の手続きについて
様式に記載の請求項目に第三者提供記録の追加
ポイント：開示対象になったため、個人データの提供・受領に際しての確認記録義務がきちんと実施できているかも重要になってくる

２、事業者の義務・公表等事項
③
改正前　：漏えい等が発生した際、
1)個人情報保護委員会への報告は努力義務
2)本人通知は法律上の義務ではない
改正後　：漏えい等が発生した際、
1)個人の権利利益の侵害のおそれが大きい事態については、
個人情報保護委員会への報告を義務化
2)本人への通知も義務化
運用変更：漏えいした場合 → 審査機関に報告
↓
漏えいした場合 → 審査機関、本人、個人情報保護委員会
ポイント：―

④
改正前　：代表者の氏名等は公表等事項ではなかった
改正後　：改正法により以下のとおり公表等事項が追加
・事業者の住所及び代表者の氏名
・安全管理措置の内容
・利用目的の特定の充実
運用変更：HP公表事項に下記追加
・事業者の住所及び代表者の氏名
・安全管理措置の内容
・利用目的の特定の充実

【補足】
・利用目的の特定の充実
→プロファイリング等、合理的に予測できないような個人データの処理が
行われる場合、本人が予測できる程度に利用目的を特定する
例：取得した閲覧履歴の情報を分析して、趣味・嗜好に応じた
新商品・サービスに関する広告のために利用します。

ポイント：利用目的の特定については「インプットされてる情報」が記載されているか
例：閲覧履歴の分析によって本人の趣味・趣向に応じた広告を配信するために利用する場合
これまで：広告の配信のため（＝インプット情報がない）
これから：取得した閲覧履歴や購買履歴等の情報を分析して
趣味・嗜好に応じた新商品・サービスに関する広告の表示のため

2022年4月からの審査基準の変更についてはこちらの記事で詳しく書いております。

あわせて読みたい記事

Pマーク最新情報 2022年4月施行改正個人情報保護法への対応どうする？

１．2022年4月から審査の内容が変わる？ 2021年8月と2022年1月、２回に渡ってJIPDECより新しい構築・運用指針が公表されました。 2022年4月以降にPマーク審査を受ける全ての事業者は、…

６．そもそもPマークの審査基準とは？落ちることはあるの？

準備しても、審査で落とされるかもしれないと思うとすごく不安になりますよね。

どうしたら審査で「落ちる」か、分かりやすい事例を挙げます。
不安を少しでも減らすために、参考にしてみてください。

1. 虚偽の申請をする
   審査料金を安くするために従業者人数を偽ることはやめましょう！
2. 審査料金を支払わない。
   審査費用は3回に分けて支払いが必要です。
3. 何も運用をしていない。（内部監査、マネジメントレビュー等）
4. 指摘の改善をしない。

などがあります。

審査で宿題が出て、期限内に対応しないとPマーク（プライバシーマーク)を取得する意思がないと判断されてしまうため、期限内に改善をしましょう。

ただし、審査で出た宿題の対応をし、仮に審査が長引いたとしても、最後には「認定」してもらえるということになります。

というのも、プライバシーマーク（Pマーク）の審査は落とすことが目的ではありません。

「プライバシーマーク（Pマーク）の付与適格性審査基準」では、「審査の結果実施されていない部分がある場合、不適合の指摘を行い、是正するために実施した処置についての報告を求めること。」としか書かれていません。

つまり、点数方式で、合格、不合格を決めるわけではないということです。
個人情報を保護する仕組みが足りない部分を指摘し、改善することが目的なので、指摘が出て改善を実施するため落ちることはないというわけです。

準備している皆さん！
少しは不安が和らいだのではないでしょうか？

上記は例なので、審査前に慌てて対応するのではなく、日々の運用を大事にして、積み重ねていきましょう！

あわせて読みたい記事

Pマークの審査に落ちることってあるの？

１．Pマーク審査の概要 Pマークの審査は「形式審査」「文書審査」「現地審査」の3つに分けて実施されます。 審査では落とすことが目的ではありません。審査を通じて課題がある点を指摘し、改善することが目的と…

７．まとめ

1. JISQ15001（個人情報保護マネジメントシステム 要求事項）とは、個人情報を安全に適切に管理するための日本工業規格（JIS）のこと
2. 審査は落とすことが目的ではなく、点数方式で、合格、不合格を決めるわけではない
3. 世の中の変化、環境の変化に合わせて、個人情報保護法にリンクして改正されていることが多い
4. 2022年4月～「審査基準」「構築・運用指針」に基づいた審査が開始されます

情報をつかんで、準備していきましょう！

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら▶️
• 見積もり依頼はこちら▶️