プライバシーマーク認証における規格が改正されました
プライバシーマーク認定における規格 JIS Q 15001 が2006年版から2017年版に改正されました。
これによって、2018年8月1日以降に新規取得する場合には新規格で審査を受けることになります。
更新の場合には2018年8月1日~2020年7月31日までに新規格への移行を進めておく必要があります。
(移行のための特別な審査があるというのではなく、通常のサイクルのなかで移行していくことになります)
さて、どのように改正されたのでしょうか。
JIS Q 15001:2017 の構成をみてみましょう。
4:組織の状況
5:リーダーシップ
6:計画
7:支援
8:運用
9:パフォーマンス評価
10:改善
附属書A(規定)管理目的及び管理策
附属書B(参考)管理策に関する補足
附属書C(参考)安全管理措置に関する管理目的及び管理策
附属書D(参考)新旧対応表
本文は、品質(QMS)、環境(EMS)、情報セキュリティ(ISMS)などのマネジメントシステムに対応したことがあれば馴染みのある構成になっています。2006年版の主な内容は附属書Aに集約されています。
附属書Aは、他の附属書が(参考)となっているなか、(規定)となっており、本文と同等レベルとして捉え、必須事項であるといえます。改正内容は、要配慮個人情報や匿名加工情報など改正個人情報保護法に関する事項など、想定できる範囲であるといえます。
本文「6:計画」の「6.1.3個人情報保護リスク対応」の項において、個人情報保護リスク対応のプロセスを定め、適用する際に必要な事項が見落とされていないことを検証するためにこの附属書Aは呼び出されています。
附属書Bは、附属書Aの補足です。対応する際のヒントになります。
附属書Cは、ISMSには馴染みのある JIS Q 27002:2014 の管理策と同等のものになっています。附属書Aの「A.3.4.3.2安全管理措置」の項から呼び出されるものであり、情報セキュリティ対策の参考にするというレベルのものであると思われます。
附属書Dは、新旧対応表になっているので、2006年版になくて、2017年版に追加されたものが分かりやすく整理されています。
さて、どこから対応していけばいいのか?
JIPDECから「プライバシーマーク付与適格性審査基準」が発行されており、附属書Aの部分については、対応するイメージがつくので、そこから見直しを開始されていくといいでしょう。
(参考)JIS改正に伴うプライバシーマーク審査基準の改正について
https://privacymark.jp/system/operation/jis_kaisei/index.html
本文については、附属書Aと多くの部分がオーバーラップしているのですが「4:組織の状況」など、新たな対応になる箇所があります(これらは他のマネジメントシステムの認証を取得されている組織にとっては馴染みのあるものです)。
プライバシーマークではそれらをどの程度まで求められるのか、2006年版同様にJIPDECより、ガイドラインが出されるものと思いますので、今後、情報収集していきながら、新規格対応について整理していきたいと思います。
ご参考までです。新しい動きがありましたらアップしていきたいと思います。
*2018/1/21現在の情報です。
