2022年6月9日

プライバシーマーク(Pマーク)の規格であるJISQ15001:2017は2017年版に改訂されました。
では、プライバシーマーク(Pマーク)が2017年版でどう変わったのか?
審査で見られるポイントを含め、プライバシーマーク(Pマーク)2017年版の審査に備えましょう!
1.JISQ15001:2017とは?
JISQ15001(個人情報保護マネジメントシステム 要求事項)とは、個人情報を安全に適切に管理するための日本工業規格(JIS)のことです。
JISQ15001の要求を満たして、個人情報保護するために、適切な仕組みがあると判断された事業者には、日本情報経済社会推進協会(JIPDEC)から、プライバシーマーク(Pマーク)の使用が認可され付与されます。
また、JISQ15001:2017の2017とは、改訂した年を表す数字となりますので、2017年に改訂しましたという意味になります。
ちなみに2022年現在で2017年度版は最新の規格となっています。
2.審査基準は?落ちることはあるの?
準備しても、審査で落とされるかもしれないと思うとすごく不安になりますよね。
どうしたら審査で「落ちる」か、分かりやすい事例を挙げます。
不安を少しでも減らすために、参考にしてみてください。
(1)虚偽の申請をする
審査料金を安くするために従業者人数を偽ることはやめましょう!
(2)審査料金を支払わない。
審査費用は3回に分けて支払いが必要です。
(3)何も運用をしていない。(内部監査、マネジメントレビュー等)
(4)指摘の改善をしない。
などがあります。
審査で宿題が出て、期限内に対応しないとPマーク(プライバシーマーク)を取得する意思がないと判断されてしまうため、期限内に改善をしましょう。
ただし、審査で出た宿題の対応をし、仮に審査が長引いたとしても、最後には「認定」してもらえるということになります。
というのも、プライバシーマーク(Pマーク)の審査は落とすことが目的ではありません。
「プライバシーマーク(Pマーク)の付与適格性審査基準」では、「審査の結果実施されていない部分がある場合、不適合の指摘を行い、是正するために実施した処置についての報告を求めること。」としか書かれていません。
つまり、点数方式で、合格、不合格を決めるわけではないということです。
個人情報を保護する仕組みが足りない部分を指摘し、改善することが目的なので、
指摘が出て改善を実施するため落ちることはないというわけです。
準備している皆さん!
少しは不安が和らいだのではないでしょうか?
上記は例なので、審査前に慌てて対応するのではなく、日々の運用を大事にして、積み重ねていきましょう!
3.プライバシーマーク(Pマーク)の基準は変わることがある!?
プライバシーマークの基準は変わります。
初版は1999年に制定され、2006年の改正を経て、最新版は2017年に制定された「JIS Q 15001:2017」となっています。
変更する背景は、例えば、電子化、大容量化、通信の高速化等、情報通信に関する環境の変化に合わせて、また、個人情報保護法にリンクして改正されていることが多いです。
世の中の変化と照らし合わせて確認していきましょう。
4.審査基準が変わる?2022年4月からはどうなる?
実は、上記でもお話ししましたように、規格改訂や審査基準は定期的に変わっていきます。
そして、まさに、2022年4月から、審査基準が変わり、「審査基準」「構築・運用指針」に基づいた審査が開始されるようになります。
え、どうしたらいい?なにも準備していないよ。。と焦ることはありません。
サンプルで変更点を紹介しますので、この機会に準備を始めましょう!
変更点が多々あり、業種による運用の変更点がありますが、
今回は、すべての事業者が対応必須で、運用で変更となる項目のうち、サンプルとして4点だけ確認していきます!
1、漏えい等報告・本人通知
①
改正前 :保有個人データの開示は原則書面交付
改正後 :保有個人データの開示方法について、
電磁的記録の提供を含め、本人が指示できる
運用変更:A.3.4.4.2 開示等の請求等に応じる手続 (1)受付手順
A.3.4.4.5 保有個人データの開示
HPの開示等の手続きについて
ポイント:保有個人データを開示するときは、請求する方が指定した開示方法で開示する必要がある
②
改正前 :第三者提供記録は、本人による開示請求の対象外
改正後 :第三者提供記録は、本人による開示請求の対象に含まれる
運用変更:HPの開示等の手続きについて
様式に記載の請求項目に第三者提供記録の追加
ポイント:開示対象になったため、個人データの提供・受領に際しての確認記録義務が
きちんと実施できているかも重要になってくる
2、事業者の義務・公表等事項
③
改正前 :漏えい等が発生した際、
1)個人情報保護委員会への報告は努力義務
2)本人通知は法律上の義務ではない
改正後 :漏えい等が発生した際、
1)個人の権利利益の侵害のおそれが大きい事態については、
個人情報保護委員会への報告を義務化
2)本人への通知も義務化
運用変更:漏えいした場合 → 審査機関に報告
↓
漏えいした場合 → 審査機関、本人、個人情報保護委員会
ポイント:―
④
改正前 :代表者の氏名等は公表等事項ではなかった
改正後 :改正法により以下のとおり公表等事項が追加
・事業者の住所及び代表者の氏名
・安全管理措置の内容
・利用目的の特定の充実
運用変更:HP公表事項に下記追加
・事業者の住所及び代表者の氏名
・安全管理措置の内容
・利用目的の特定の充実
【補足】
・利用目的の特定の充実
→プロファイリング等、合理的に予測できないような個人データの処理が
行われる場合、本人が予測できる程度に利用目的を特定する
例:取得した閲覧履歴の情報を分析して、趣味・嗜好に応じた
新商品・サービスに関する広告のために利用します。
ポイント:利用目的の特定については「インプットされてる情報」が記載されているか
例:閲覧履歴の分析によって本人の趣味・趣向に応じた広告を配信するために利用する場合
これまで:広告の配信のため(=インプット情報がない)
これから:取得した閲覧履歴や購買履歴等の情報を分析して
趣味・嗜好に応じた新商品・サービスに関する広告の表示のため
2022年4月からの審査基準の変更についてはこちらの記事で詳しく書いております。
Pマーク最新情報 2022年4月施行改正個人情報保護法への対応どうする?
5.まとめ
(1)JISQ15001(個人情報保護マネジメントシステム 要求事項)とは、個人情報を安全に適切に管理するための日本工業規格(JIS)のこと
(2)審査は落とすことが目的ではなく、点数方式で、合格、不合格を決めるわけではない
(3)世の中の変化、環境の変化に合わせて、個人情報保護法にリンクして改正されていることが多い
(4)2022年4月~「審査基準」「構築・運用指針」に基づいた審査が開始されます
情報をつかんで、準備していきましょう!
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!相談予約は
こちらから
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ