JIS Q 15001(個人情報保護マネジメントシステム-要求事項)改正案2
皆さん、こんにちは。
(株)マネジメント総研の小山です。
前回ご紹介した「JIS Q 15001(個人情報保護マネジメントシステム-要求事項)」改正案についての第2弾です。
▼日本工業標準調査会 意見受付公告(JIS)
http://www.jisc.go.jp/app/jis/general/GnrOpinionReceptionNoticeList?show
(意見締切日:2017年9月17日)
前回ご紹介のとおり、改正案の本編は、ISOの共通テキストに合わせて10章立ての構成となっております。
そして、「ISO/IEC 27001:2013(JIS Q 27001:2014)(情報セキュリティマネジメントシステム-要求事項)」と内容も酷似しています。
そこで、今回は、「ISO/IEC 27001:2013」本編の要求事項との差異に焦点を当ててご紹介します。
4 組織の状況
・「27001」で“情報セキュリティ”と書かれている部分が、
「15001改正案」では“個人情報保護”に置換されている(以降同様)。
・「27001」4.1には“注記”が設けられているが、
「15001改正案」4.1には“注記”が設けられていない。
・ほか差異なし。
5 リーダーシップ
・「27001」で“情報セキュリティ方針”と書かれている部分が、
「15001改正案」では“内部向け個人情報保護方針”に置換されている
(以降同様)。
・「27001」5.2について、「15001改正案」では“5.2.1 内部向け個人情報
保護方針”と“5.2.2 外部向け個人情報保護方針”に分けられている。
・「15001改正案」5.2.1の内容は、「27001」5.2の内容と同じ。
・「15001改正案」5.2.2の内容は、「27001」には無い。
・「27001」5.3で“責任及び権限を割り当て、伝達する”と書かれている
箇所が、「15001改正案」では“責任及び権限を割り当て、利害関係者に
伝達する”となっている(“利害関係者に”が追加されている)。
・ほか差異なし。
6 計画
・「27001」6.1.2c)1)で“情報の機密性、完全性及び可用性の喪失”と
書かれている箇所が、「15001改正案」では“個人情報の不適切な取扱い”
となっている。
・「27001」6.1.3c)注記2の“選択した管理策”と書かれている部分が、
「15001改正案では“管理策”となっている(“選択した”が削除
されている)。
・「27001」6.1.3d)では、適用宣言書の作成に関する記述があるが、
「15001改正案」では省略されている。
・ほか差異なし。
7 支援
・「27001」7.2a)で“人(又は人々)”と書かれている部分が、
「15001改正案」では“人々”となっている。
・「27001」7.3a)で“情報セキュリティ方針”と書かれている部分が、
「15001改正案」では“内部向け個人情報保護方針及び外部向け個人情報
保護方針”となっている。
・「27001」7.5.1注記3)で“人々の力量”と書かれている部分が、
「15001改正案」では“個々人の力量”となっている。
・「27001」7.5.3c)で“配付”と書かれている部分が、
「15001改正案」では“配布”となっている
(改正案の“配布”は“配付”の誤記と思われます)。
・ほか差異なし。
8 運用
・差異なし。
9 パフォーマンス評価
・差異なし。
10 改善
・「27001」10.1b)で“不適合が再発又は他のところで発生しないように”
と書かれている箇所が、「15001改正案」では“不適合が再発しないように
又は他のところで発生しないように”となっている(“しないように”が
追加されている)。
・ほか差異なし。
「27001」は情報セキュリティマネジメントシステム(ISMS)の要求事項を定めた規格であり、「15001改正案」は個人情報保護マネジメントシステムの要求事項を定めた規格ですが、上記のとおり細かな差異がいくつか見られるのみで、「15001改正案」が「27001」に酷似していることがお分かりいただけたのではないでしょうか。
このことから、「JIS Q 15001改正案」は、ISMSに取組む組織にとって身近で、親和性のある規格改正案になっていると考える次第です。