中小零細企業の個人情報保護対策とプライバシーマーク付与認定取得支援。関西一円(京都、大阪、滋賀、兵庫、奈良)で活動展開!

officeta.comのタイトルイメージ

  • ウェブ全体
  • 本サイト内
Powered by Yahoo! JAPAN
メニューライン 会社案内 お問い合せ サイトマップ トップページ  
トップページ >> プライバシーマークについて:JIS Q 15001について >>

「JIS Q 15001」は、ライバシーマークの付与認定基準です。

 プライバシーマークについて(JIS Q 15001:2006)   3/6

 プライバシーマーク認定基準「JIS Q 15001」の改定について(2017/7/27)

 改正個人情報保護法が施行されて、プライバシーマークの認定基準であるJISQ15001も改定されることは公表されておりましたが、 それが、いつになるのかと気になっていたところですが、ついに、ドラフト版が公開されました。
 http://www.jisc.go.jp/app/jis/general/GnrOpinionReceptionNoticeList?show
(一覧から、JISQ15001 個人情報保護マネジメントシステム−要求事項 を選択してください。)

 これによりますと、改訂15001は、国際規格ISOとの整合化を図り、ISOマネジメントのシステムの上位構造(HLS)、 共通テキスト(要求事項)に基づく内容となりました。   http://www.jsa.or.jp/stdz/iso/mngment03.html

 規格要求事項(箇条4〜10)の部分は、JISQ27001(SIO27001)の情報セキュリティマネジメントシステムを個人情報保護マネジメントシステムに読み替えた程度の違いしかありません。

 これまでのJISQ15001の中で示されていた個人情報の取り扱いに関する具体的な取り組みは、「附属書A」の管理目的及び管理策の中で示されています。
 また、「附属書B」があって、「附属書A」を補完する形で「〜が望ましい。」との表現で示されていますが、 「個人情報保護マネジメントシステム実施のためのガイドライン」に書かれていたような内容で、今後のPマーク付与認定の審査基準になっていくものと思います。
 附属書A、附属書Bを、どのように取り組むかが、PMS構築の重要な要素になります。

 また、「附属書C」では、”安全管理処置に関する管理目的及び管理策”が示されています。
 この内容は、JISQ27001(ISO27701)の附属書Aの管理目的・管理策を個人情報保護マネジメントシステムに当てはめたものとなっており、事実上、ISMSと同じだと言えます。


 これにより、個人情報保護マネジメントシステム(PMS)と情報セキュリティマネジメントシステム(ISMS)との統合が極めて容易となることは間違いないと思います。

 今後、JISDECプライバシーマーク推進センターから、今後の審査方針等が示されるものと思いますが、 旧15001:2006に基づいて、個人情報保護マネジメントシステム(PMS)を構築されていた方については、大幅な改定作業が必要になるかも知れません。
 一方で、既に、ISMSを認証取得した事業者では、「個人情報取扱規程」なるものを追加する程度で、Pマーク付与認定が受けやすくなるかも知れません。

 ISMSを認証取得することでPマークを返上する動きがある中で、同じ仕組みの中で、2年に一度のPマーク審査の負担を取ることで、 両方の認証(認定)を維持することが容易になり、Pマ―ク離れの抑止につながる。との楽観的意見と、 同じ仕組みであるなら、別々に審査を受ける必要もないから、Pマーク離れが加速する。との悲観的意見に分かれそうですが、皆さんは、どのようにお考えになりますか?

※本ページに係れているプライバシーマークに関する情報は、JISQ15001:2006に基づくものです。今後、動向を見て、ホームページの修正など検討していきます。

JIS Q 15001について

 プライバシーマークは、「JIS Q 15001:個人情報保護マネジメントシステム−要求事項」に基づく個人情報の管理ができていることを証明するものです。
 このJIS規格は、我が国の工業標準化法に基づいて日本工業標準調査会の審議を経て制定された国家規格であり、個人情報保護法の施行後の改定で、個人情報保護法を包括した内容となっています。

 JIS Q 15001は、その名前の通り、個人情報を保護するための「マネジメントシステム」を構築するための規格です。定義の中では「事業者が自ら保有する個人情報を保護するための方針、組織、計画、実施、監査及び見直しを含むマネジメントシステム」と書かれています。
 「マネジメントシステム」とは、「事業者が、ある目的に向かって、組織的に、計画的に、継続的に、効果的に、行動する仕組み」です。

 マネジメントシステムにおける概念モデルとしてよく次のような図が示されます。
コンプライアンス・プログラムの基本モデル

 まずは「方針」を定めること。その後、その方針を実現するための「計画(Plan)」を策定、「実施(Do)」し、状況を「監査(Check)」、必要があれば「見直し(Action)」を行なう。マネジメントシステムとは、Plan-Do-Check-Action」を継続的に繰り返すことであることを示しています。

 プライバシーマークの使用許諾を得るには、このJIS規格に基づいた個人情報管理システムを構築しなければなりません。
 このJIS規格には下記見出しの極めて基本的なことしか書かれていません。
 具体的な要求事項は3.1〜3.9で示され、たかだかA4サイズで10ページしかありません。
 詳細の運営に関しては、各企業の状況に応じて定めていく必要があるのです。

JIS Q 15001(見出し抜粋)

1 適用範囲
2 用語および定義
3 要求事項
3.1  一般要求事項
3.2  個人情報保護方針
3.3  計画
  個人情報の特定、リスクなどの認識、分析及び対策
  法令、国が定める指針その他の規範
  資源、役割、責任及び権限
  緊急事態への準備 など
Plan
3.4  実施及び運用
  利用目的の特定、適正な取得
  特定の機微な個人情報の取得、利用及び提供の制限
  本人から直接書面によって取得する場合の措置
  [前項]以外の方法によって取得した場合の措置
  利用に関する措置、提供に関する措置
  本人にアクセスする場合の措置
  正確性の確保、安全管理措置
  従業員の監督、委託先の監督
  開示等の求めに応じる手続き
  教育 など
Do
3.5  個人情報保護マネジメントシステム文書
  文書管理、記録の管理 など
3.6  苦情及び相談への対応
3.7  点検
  運用の確認、監査
Check
3.8  是正処置及び予防処置 Action
3.9  事業者の代表者による見直し


 例えば、個人情報の漏えい等を防ぐための安全対策・セキュリティー対策については「3.4.3.2 安全管理措置」として、「事業者は、その取り扱う個人情報のリスクに応じて、漏えい、滅失またはき損の防止その他の個人情報の安全管理のために必要、かつ、適切な措置を講じなければならない。」としか書かれていません。
 具体的にどのような安全対策を実施すれば良いかなどと言ったことはどこにも書かれていません。
 個人情報のリスクを明確にして、リスクに応じたレベルの安全管理を、れれぞれで考え実施していく必要があるのです。ぞれの要求事項を理解し、要求を満たすための手順を定め、それらを文書化し、また、それらの文書が「管理」に値する手順を定めて扱う必要があります。
 全てが、事業者が判断して定めるのですが、これが客観的に見て適切である必要があるのです。

※JIS Q 15001は(財)日本規格協会や大手書店で購入することができます。

==========================
プライバシーマークに関する詳細は
(財)日本情報処理開発協会
プライバシーマーク事務局のホームページをご覧下さい。
http://privacymark.jp/
==========================
 ←前のページへ  次のページへ→
トップページ | 会社案内 | お問い合せ | サイトマップ | リンク集 | プライバシーポリシー