2023年7月5日
JISQ15001:2017は、2017年に最新版へ改訂され、規格要求事項がISO規格と似た並びに変更されました。2022年4月に審査基準が変更されましたが、規格の中身は変更されていません。とはいえ、審査基準の変更に対応せず放置してしまうと、Pマークを更新できない可能性があるため、注意する必要があります。
1.JISQ15001:2017とは?
JISQ15001(個人情報保護マネジメントシステム 要求事項)とは、個人情報を安全に適切に管理するための日本工業規格(JIS)のことです。
JISQ15001の要求を満たして、個人情報保護するために、適切な仕組みがあると判断された事業者には、日本情報経済社会推進協会(JIPDEC)から、プライバシーマーク(Pマーク)の使用が認可され付与されます。
また、JISQ15001:2017の2017とは、改訂した年を表す数字となりますので、2017年に改訂しましたという意味になります。
ちなみに2023年現在で2017年度版は最新の規格となっています。
2.Pマーク2017年度版改訂のポイント
〈JISQ15001:2006〉から〈JISQ15001:2017〉へ規格が改訂されました。
大きな変更点は、これまで他の規格とは異なる並びをしていた規格要求事項が、ISO規格と似た並びに変更された点が挙げられます。
要求事項の並びがISO規格と似た並びになった背景には、ISO規格とPマークを同時に認証している企業も多いため、要求事項の並びが類似している方が運用しやすいという事情があったと言われてます。
また今回の〈JISQ15001:2017〉への改訂により、マニュアルへの反映が必要になる附属書Aに加え、参考書として附属書B、C、Dが追加されました。
なかでも附属書Aでの主な変更点は、以下の3項目になります。
- 改正個人情報保護法への対応
- 個人情報の管理台帳に追記する事項に「保管期限」の記載が要求化
- 従業者の教育に盛り込む必要がある事項として新たに「個人情報保護方針」が追加
さらに、新たに項目が追加にもなったものが以下として、例を挙げます。
- A.3.4.2.8 個人データの提供に関する措置
- A.3.4.2.8.1 外国にある第三者への提供の制限
- A.3.4.2.8.2 第三者提供に係る記録の作成など
- A.3.4.2.8.3 第三者提供を受ける際の確認など
- A.3.4.2.9 匿名加工情報
その他にも、「仮名加工情報の追加」や、「直接書面で個人情報を受け取る際の措置」と「それ以外取得を行う際の措置」に対する項番の順序が入れ替わったりと、変化は多岐にわたります。
3.JISQ15001:2017要求事項の構成
下記の通り、要求事項の構成がISO規格と似た並びになっています。
◆本文
0 序文
1 適用範囲
2 引用規格
3 用語及び定義
4 組織の状況4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 個人情報保護マネジメントシステムの適用範囲の決定
4.4 個人情報保護マネジメントシステム5 リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2 方針
5.3 組織の役割,責任及び権限6 計画
6.1 リスク及び機会に対処する活動
6.2 個人情報保護目的及びそれを達成するための計画策定7 支援
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化した情報8 運用
8.1 運用の計画及び管理
8.2 個人情報保護リスクアセスメント
8.3 個人情報保護リスク対応9 パフォーマンス評価
9.1 監視,測定,分析及び評価
9.2 内部監査
9.3 マネジメントレュー10 改善
10.1 不適合及び是正処置
10.2 継続的改善◆附属書A(規定)管理目的及び管理策
「JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項」
◆附属審B(参考)管理策に関する補足
◆附属書C(参考)安全管理措置に関する管理目的及び管理策
◆附属書D(参考)新旧対応表
◆参考文献
◆解 説
4.2022年施行の改正個人情報保護法への対応
プライバシーマークの初版は1999年に制定されました。
その後2006年の改正を経て、最新版は2017年に制定された「JISQ15001:2017」となっています。
こういった改正や変更は、例えば電子化、大容量化、通信の高速化等、情報通信に関する環境の変化に合わせて、また、今回のように個人情報保護法の改正にリンクして行われることが多いです。
そういった背景もあり、2022年4月よりプライバシーマークにおける「個人情報保護マネジメントシステム構築・運用指針」に改正個人情報保護法の内容が追加され公表されました。
ただし、2022年4月改正では、規格の中身は変更されていません。
端的に説明すると審査対象(審査基準)が変更されました。
これまでは対象外となっていた本文内容も審査対象となりましたので、対応を行う必要があります。
しかし、これまでのプライバシーマークの運用が変わるというものではありません。
個人情報管理台帳の作成や委託先の評価、教育の実施などは従来通りです。
例えば、教育を行う際の共有しなければならない事項も2017年改訂時から変化はありません。
運用内容に変更はありませんが、JISQ15001:2017本文への対応を行うための規程の作成、規定内容の変化に伴う内部監査実施時の適合性監査チェックリストなどは変える必要があります。
また、審査機関へ提出する申請書についても、これまでと変更されている箇所があります。
一部審査機関では、使用している様式と項番の照らし合わせが必要となりますが、その並びはJISQ15001:2017本文と同じです。
これまで作成をしていた方にとっては、見慣れない並びになっていて戸惑うかもしれませんが、マニュアルの改訂や申請書の対応は必要となります。
5.【2022年4月〜】新しい審査基準の変更点について解説
2022年4月からの新しい審査基準の変更点は多々あり、業種による運用の変更点がありますが、今回は、すべての事業者が対応必須で、運用で変更となる項目のうち、サンプルとして4点だけ確認していきます。
1、漏えい等報告・本人通知
①
改正前 :保有個人データの開示は原則書面交付
改正後 :保有個人データの開示方法について、
電磁的記録の提供を含め、本人が指示できる
運用変更:A.3.4.4.2 開示等の請求等に応じる手続 (1)受付手順
A.3.4.4.5 保有個人データの開示
HPの開示等の手続きについて
ポイント:保有個人データを開示するときは、請求する方が指定した開示方法で開示する必要がある
②
改正前 :第三者提供記録は、本人による開示請求の対象外
改正後 :第三者提供記録は、本人による開示請求の対象に含まれる
運用変更:HPの開示等の手続きについて
様式に記載の請求項目に第三者提供記録の追加
ポイント:開示対象になったため、個人データの提供・受領に際しての確認記録義務がきちんと実施できているかも重要になってくる
2、事業者の義務・公表等事項
③
改正前 :漏えい等が発生した際、
1)個人情報保護委員会への報告は努力義務
2)本人通知は法律上の義務ではない
改正後 :漏えい等が発生した際、
1)個人の権利利益の侵害のおそれが大きい事態については、
個人情報保護委員会への報告を義務化
2)本人への通知も義務化
運用変更:漏えいした場合 → 審査機関に報告
↓
漏えいした場合 → 審査機関、本人、個人情報保護委員会
ポイント:―
④
改正前 :代表者の氏名等は公表等事項ではなかった
改正後 :改正法により以下のとおり公表等事項が追加
・事業者の住所及び代表者の氏名
・安全管理措置の内容
・利用目的の特定の充実
運用変更:HP公表事項に下記追加
・事業者の住所及び代表者の氏名
・安全管理措置の内容
・利用目的の特定の充実
【補足】
・利用目的の特定の充実
→プロファイリング等、合理的に予測できないような個人データの処理が
行われる場合、本人が予測できる程度に利用目的を特定する
例:取得した閲覧履歴の情報を分析して、趣味・嗜好に応じた
新商品・サービスに関する広告のために利用します。
ポイント:利用目的の特定については「インプットされてる情報」が記載されているか
例:閲覧履歴の分析によって本人の趣味・趣向に応じた広告を配信するために利用する場合
これまで:広告の配信のため(=インプット情報がない)
これから:取得した閲覧履歴や購買履歴等の情報を分析して
趣味・嗜好に応じた新商品・サービスに関する広告の表示のため
2022年4月からの審査基準の変更についてはこちらの記事で詳しく書いております。
Pマーク最新情報 2022年4月施行改正個人情報保護法への対応どうする?
6.そもそもPマークの審査基準とは?落ちることはあるの?
準備しても、審査で落とされるかもしれないと思うとすごく不安になりますよね。
どうしたら審査で「落ちる」か、分かりやすい事例を挙げます。
不安を少しでも減らすために、参考にしてみてください。
- 虚偽の申請をする
審査料金を安くするために従業者人数を偽ることはやめましょう! - 審査料金を支払わない。
審査費用は3回に分けて支払いが必要です。 - 何も運用をしていない。(内部監査、マネジメントレビュー等)
- 指摘の改善をしない。
などがあります。
審査で宿題が出て、期限内に対応しないとPマーク(プライバシーマーク)を取得する意思がないと判断されてしまうため、期限内に改善をしましょう。
ただし、審査で出た宿題の対応をし、仮に審査が長引いたとしても、最後には「認定」してもらえるということになります。
というのも、プライバシーマーク(Pマーク)の審査は落とすことが目的ではありません。
「プライバシーマーク(Pマーク)の付与適格性審査基準」では、「審査の結果実施されていない部分がある場合、不適合の指摘を行い、是正するために実施した処置についての報告を求めること。」としか書かれていません。
つまり、点数方式で、合格、不合格を決めるわけではないということです。
個人情報を保護する仕組みが足りない部分を指摘し、改善することが目的なので、指摘が出て改善を実施するため落ちることはないというわけです。
準備している皆さん!
少しは不安が和らいだのではないでしょうか?
上記は例なので、審査前に慌てて対応するのではなく、日々の運用を大事にして、積み重ねていきましょう!
Pマークの審査に落ちることってあるの?
7.まとめ
- JISQ15001(個人情報保護マネジメントシステム 要求事項)とは、個人情報を安全に適切に管理するための日本工業規格(JIS)のこと
- 審査は落とすことが目的ではなく、点数方式で、合格、不合格を決めるわけではない
- 世の中の変化、環境の変化に合わせて、個人情報保護法にリンクして改正されていることが多い
- 2022年4月~「審査基準」「構築・運用指針」に基づいた審査が開始されます
情報をつかんで、準備していきましょう!
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ