「JIS Q 15001:2017」の概要 | 京都で働くコンサルタントのブログ
2018-01-16 07:23:11

「JIS Q 15001:2017」の概要

テーマ:情報セキュリティマネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。

2017年12月20日に、「JIS Q 15001:2017」が発行されました。

この規格は、個人情報保護マネジメントシステムの要求事項が書かれたもので、プライバシーマークの審査等で用いられています。

1999年に初版制定後、個人情報保護法の全面施行(2005年4月1日)を受け2006年5月20日に改正され、今回、改正個人情報保護法の全面施行(2017年5月30日)を受けて、2度目の改正となりました。


発行された「JIS Q 15001:2017」の構成は、以下のとおりです。

・本文
・附属書A(規定)管理目的及び管理策
・附属書B(参考)管理策に関する補足
・附属書C(参考)安全管理措置に関する管理目的及び管理策
・附属書D(参考)新旧対応表



それぞれの概要は、以下のとおりです。

○本文
・ISOのマネジメントシステム規格と同じ10章立ての構成となりました。
・特に、情報セキュリティマネジメントシステム(ISMS)の要求事項
 である「JIS Q 27001:2014(ISO/IEC 27001:2013)」の本文と
 非常によく似た内容となっています。

○附属書A
・「JIS Q 15001:2006」の本文(3.1~3.9の要求事項)に、
 改正個人情報保護法を踏まえ加筆・修正された内容となっています。
・本文6.1.3c)にて、リスク対応の管理策をこの「附属書A」に示す
 管理策と比較することが求められています。

○附属書B
・附属書Aの補足説明が書かれています。
・「JIS Q 15001:2006」の解説の内容から抜粋・整理した
 ような内容となっています。

○附属書C
・「JIS Q 27001:2014」の附属書A(114の管理策)と
 ほぼ同じ内容となっています。
・附属書AのA.3.4.3.2(安全管理措置)に“附属書Cを参照”
 と記載されており、安全管理措置を決定する際に参照する
 リスト的な位置づけとなっています。

○附属書D
・新旧規格の目次対応と用語対応が表にまとめられています。
・目次対応表は、「JIS Q 15001:2017」の本文及び附属書Aが左に、
 対応する「JIS Q 15001:2006」の本文が右に配置されています。



リスク対応部分については、前述のとおり、以下のような構造となりました。

「JIS Q 15001:2017」6.1.3 c) → 「附属書A」と比較
「附属書A」A.3.4.3.2 → 「附属書C」を参照



一方、ISMS(「JIS Q 27001:2014」)では、以下の構造となっています。

「JIS Q 27001:2014」6.1.3 c) → 「附属書A」と比較
 (この附属書Aは「JIS Q 27001:2014」の附属書Aであり、
  「JIS Q 15001:2017」の附属書Cに相当します)

このことから、「JIS Q 15001:2017」の方が、「JIS Q 27001:2014」よりも一階層深く、複雑な構造となっていることがうかがえます。



また、改正個人情報保護法を踏まえ、「個人データ」「保有個人データ」という用語が採用されましたが、以下のとおり、個人情報保護法よりも広い範囲の管理が求められているため、留意が必要です。

・A.3.3.1(個人情報の特定)
“特定した個人情報については、
 個人データと同様に取り扱わなければならない”


・A.3.4.4.1(個人情報に関する権利)
“保有個人データに該当しないが、本人から求められる
 利用目的の通知、開示、内容の訂正、追加又は削除、
 利用の停止、消去及び第三者への提供の停止の請求などの
 全てに応じることができる権限を有する個人情報についても、
 保有個人データと同様に取り扱わなければならない”




今回の改正は、ISMSに取組む組織から見れば馴染みやすく適用しやすいと考えられますが、プライバシーマークのみ取組んでいる組織には、本文・附属書C部分に戸惑う要素が多いように感じられます。

ただ本質的な部分は変わりませんので、正しく見極めれば戸惑いも解消できるものと考えます。



実はこの「JIS Q 15001:2017」の発行を受け、2018年1月12日に、プライバシーマーク制度を運営しているJIPDECより、「プライバシーマーク付与適格性審査基準」が公表されています。
https://privacymark.jp/system/operation/jis_kaisei/index.html

 

次回はこの新しい審査基準についてご紹介させていただく予定です。





 

株式会社マネジメント総研さんをフォロー

ブログの更新情報が受け取れて、アクセスが簡単になります

Ameba人気のブログ

Amebaトピックス