JIS Q 15001(個人情報保護マネジメントシステム-要求事項)改正案1 | 京都で働くコンサルタントのブログ
2017-08-01 08:01:05

JIS Q 15001(個人情報保護マネジメントシステム-要求事項)改正案1

テーマ:情報セキュリティマネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。

改正個人情報保護法が2017年5月30日に全面施行されましたが、プライバシーマークの審査基準である「JIS Q 15001(個人情報保護マネジメントシステム-要求事項)」についても、改正手続きが進められており、7/20に改正案の意見受付が開始されました。

▼日本工業標準調査会 意見受付公告(JIS)
http://www.jisc.go.jp/app/jis/general/GnrOpinionReceptionNoticeList?show
(意見締切日:2017年9月17日)


個人情報保護法の改正を反映するための規格改正だと思って改正案を見てみたところ、ISOの共通テキストに合わせた構成変更も行われており、思っていたより大幅な改正だなと衝撃を受けました。


大きく変わったと感じたのは以下の点です。

(1) 規格の構成変更
・ISOの共通テキストに合わせて10章立ての構成に変更されました。
・ISMSの審査基準である「ISO/IEC 27001:2013(情報セキュリティ
 マネジメントシステム-要求事項)」とほぼ同じ構成となりました。

(2) 附属書
・現行規格の利用者の利便に配慮し、現行の「JIS Q 15001:2006」と
 ほぼ同じ内容のものが「附属書A」に位置づけられました。
・現行規格の解説部分とほぼ同じ内容のものが「附属書B」に
 位置づけられました。
・「ISO/IEC 27001:2013」の附属書A(114項目の管理策)とほぼ同じ
 内容のものが「附属書C」に位置づけらました。
・現行規格との対応がわかるように、新旧対応表が「附属書D」として
 設けられています。

(3) 改正個人情報保護法対応
・匿名加工情報、第三者提供におけるトレーサビリティの確保、
 オプトアウト規定の厳格化、国外にある第三者への提供の制限等、
 必要な条項が、「附属書A」の中で追加されました。
・用語については、“機微な個人情報”が“要配慮個人情報”に、
 “開示対象個人情報”が“保有個人データ”に、
 “代表者による見直し”が“マネジメントレビュー”に、
 等、置き換えられました。



改正案(6.1.3 個人情報保護リスク対応)では、“決定した管理策を附属書Aに示す管理策と比較し、必要な管理策が見落とされていないことを検証する”とあることから、「附属書A」(現行規格の要求事項にほぼ相当)を用いて、リスク対応の選択肢として見落としがないかをチェックすることが必要となると考えられます。
 
「ISO/IEC 27001:2013」(6.1.3 情報セキュリティリスク対応)では、“決定した管理策を附属書Aに示す管理策と比較し”と同様の記述がありますが、この場合の「附属書A」は114項目の管理策であり、今回の改正案では「附属書C」に該当するという違いがあります。

なお、改正案(A.3.4.3.2 安全管理措置)では、“安全管理措置に関する管理目的及び管理策は、附属書Cを参照”とあることから、改正案では(6.1.3)で附属書Aを参照し、附属書A(A.3.4.3.2)で附属書Cを参照するという親子孫の関係となると考えられます。

この部分の構成については、「ISO/IEC 27001:2013」よりも改正案の方が重たい仕組みのように見えます。
(「JIS Q 15001本編」→「附属書A」→「附属書C」
 「ISO/IEC 27001本編」→「附属書A(改正案の附属書Cに相当)」)




また、改正案の概要に、“規格をマネジメントシステム部分(MS部)とマネジメント部分(管理策) とに明確に分けた”という記述がありましたが、「管理策」という用語は、“Managemnet”ではなく“Control”ではないかと違和感を覚えました。

ここでいう“マネジメントシステム部分(MS部)”は、10章立ての本編のことを指し、“マネジメント部分(管理策)”は、「附属書A(規定)管理目的及び管理策」のことを指すものと考えます。

管理策の定義は、改正案(3.25 管理策)では、「JIS Q 27000:2014」(2.16 管理策)からの引用となっていますが、その原文である「ISO/IEC 27000:2014」では“Control”であり、“Management”ではありません。

「ISO/IEC 27001:2013」の「附属書A(規定)管理目的及び管理策」の原文も“Annex A (normative) Reference control objectives and controls”となっており、やはり“Managemnet”ではなく“Control”です。



いずれにしても、プライバシーマークの認定という観点では、改正案の本編、附属書A、附属書B、附属書Cへの対応について審査でどの程度求められるのかが気になるところです。


なお、プライバシーマーク制度を運営しているJIPDECプライバシーマーク推進センターでは、JIS改正によるプライバシーマーク制度における影響や対応等は、「JIS Q 15001」改正後に公表するとのことです。

また、プライバシーマーク付与適格性審査に関する対応方針や今後のスケジュールについても決定次第、順次公表するとのことです。

▼JIS Q 15001改正の意見受付公告について(JIPDEC)
https://privacymark.jp/news/system/2017/0720.html



引き続き、JIS Q 15001の改正動向についてウォッチしてまいります。





 

株式会社マネジメント総研さんをフォロー

ブログの更新情報が受け取れて、アクセスが簡単になります

Ameba人気のブログ

Amebaトピックス