プライバシーマーク認証における規格が改正されました

プライバシーマーク認定における規格 JIS Q 15001 が2006年版から2017年版に改正されました。

これによって、2018年8月1日以降に新規取得する場合には新規格で審査を受けることになります。

更新の場合には2018年8月1日~2020年7月31日までに新規格への移行を進めておく必要があります。
(移行のための特別な審査があるというのではなく、通常のサイクルのなかで移行していくことになります)

さて、どのように改正されたのでしょうか。
JIS Q 15001:2017 の構成をみてみましょう。

4:組織の状況
5:リーダーシップ
6:計画
7:支援
8:運用
9:パフォーマンス評価
10:改善
附属書A(規定)管理目的及び管理策
附属書B(参考)管理策に関する補足
附属書C(参考)安全管理措置に関する管理目的及び管理策
附属書D(参考)新旧対応表

本文は、品質(QMS)、環境(EMS)、情報セキュリティ(ISMS)などのマネジメントシステムに対応したことがあれば馴染みのある構成になっています。2006年版の主な内容は附属書Aに集約されています。

附属書Aは、他の附属書が(参考)となっているなか、(規定)となっており、本文と同等レベルとして捉え、必須事項であるといえます。改正内容は、要配慮個人情報や匿名加工情報など改正個人情報保護法に関する事項など、想定できる範囲であるといえます。
本文「6:計画」の「6.1.3個人情報保護リスク対応」の項において、個人情報保護リスク対応のプロセスを定め、適用する際に必要な事項が見落とされていないことを検証するためにこの附属書Aは呼び出されています。

附属書Bは、附属書Aの補足です。対応する際のヒントになります。

附属書Cは、ISMSには馴染みのある JIS Q 27002:2014 の管理策と同等のものになっています。附属書Aの「A.3.4.3.2安全管理措置」の項から呼び出されるものであり、情報セキュリティ対策の参考にするというレベルのものであると思われます。

附属書Dは、新旧対応表になっているので、2006年版になくて、2017年版に追加されたものが分かりやすく整理されています。



さて、どこから対応していけばいいのか?

JIPDECから「プライバシーマーク付与適格性審査基準」が発行されており、附属書Aの部分については、対応するイメージがつくので、そこから見直しを開始されていくといいでしょう。

 (参考)JIS改正に伴うプライバシーマーク審査基準の改正について
      https://privacymark.jp/system/operation/jis_kaisei/index.html

本文については、附属書Aと多くの部分がオーバーラップしているのですが「4:組織の状況」など、新たな対応になる箇所があります(これらは他のマネジメントシステムの認証を取得されている組織にとっては馴染みのあるものです)。
プライバシーマークではそれらをどの程度まで求められるのか、2006年版同様にJIPDECより、ガイドラインが出されるものと思いますので、今後、情報収集していきながら、新規格対応について整理していきたいと思います。

ご参考までです。新しい動きがありましたらアップしていきたいと思います。

*2018/1/21現在の情報です。

スポンサーサイト


情報(セキュリティ) | コメント(0) | トラックバック(0)2018/01/21(日)09:22

«  | HOME |  »


カレンダー

04 | 2018/05 | 06
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

Twitter

プロフィール

 新木 啓弘

Author: 新木 啓弘
     (しんき よしひろ)

徳島県出身/東京都在住

株式会社インフォクリエマネジメント 代表取締役

中小企業診断士
ITコーディネータ
ISMS審査員
ターンアラウンドマネージャー(NPO法人金融検定協会認定)

砂にこぼれた雨の滴が
川と流れて海に向くように
人は生きて何を残そうか?
こんな小さな命だけど・・・
  「からっぽのブルース」より

↓従業員特性調査ツール

BasMosバナー

月別アーカイブ

全ての記事を表示する

全ての記事を表示する

ブログ内検索