JIS改正に伴うプライバシーマーク審査基準の改正
皆さん、こんにちは。
(株)マネジメント総研の小山です。
「JIS Q 15001」の改正に伴い、2018年1月12日に、プライバシーマーク制度を運営するJIPDEC(日本情報経済社会推進協会)より、「プライバシーマーク付与適格性審査基準」が公表されました。
プライバシーマークの審査では、「JIS Q 15001」の要求事項に対する適合性が審査されますが、審査の際の基準の参考資料として、これまで「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第2版-」の第二部「JIS Q 15001 各要求事項についてのプライバシーマーク付与適格性審査の基準」がありました。
https://privacymark.jp/system/guideline/pdf/guideline_V2.0_160104.pdf
上記「ガイドライン」は、「JIS Q 15001:2006」に対応するものであり、今回ご紹介する「プライバシーマーク付与適格性審査基準」は、改正されたJIS、すなわち、「JIS Q 15001:2017」に対応する審査基準の位置づけとなります。
この「ガイドライン」も今後改訂されるようですが、今回公表された「プライバシーマーク付与適格性審査基準」には、以下のように記載されていることから、
○プライバシーマーク付与適格性審査との関係
・プライバシーマーク付与適格性審査では、事業者における
個人情報の取り扱いの状況及びこの審査項目で定められた
事項の実施状況について確認を行う。
2017年版JISでの審査においては、この「プライバシーマーク付与適格性審査基準」に記載されている審査項目を用いて審査が行われるものと考えられます。
この「プライバシーマーク付与適格性審査基準」は、「A.3.1.1 一般」から始まり、「A.3.8 是正処置」で終わっており、それぞれは、「審査項目」と「確認・方法」及び「留意事項」で構成されています。
前回ご紹介のとおり、「JIS Q 15001:2017」では、「本文」は、ISOのマネジメントシステム規格と同じ10章構成で要求事項が記載され、これまでの要求事項(「JIS Q 15001:2006」の「本文」に相当するもの)は、「附属書A」に位置づけられました。
この「プライバシーマーク付与適格性審査基準」は、「附属書A」をもとに構成されていることから、プライバシーマーク付与適格性審査では、「JIS Q 15001:2017」の要求事項である「本文」ではなく「附属書A」を中心に確認されることがうかがえます。
また、「JIS Q 15001:2017」には、114項目の管理策が記載された「附属書C」が設けられ、「附属書A」(A.3.4.3.2 安全管理措置)に、“安全管理措置に関する管理目的及び管理策は、附属書Cを参照”という記述があることから、「附属書C」が審査上、どのように取扱われるかが気になるところでした。
これについては、この「プライバシーマーク付与適格性審査基準」(A.3.4.3.2 安全管理措置)の《留意事項》に、“附属書Cは安全管理措置を決定するための参考であり、 附属書Cに示す事項を一律に求めるものではない。”とあることから、114項目の管理策を一律に実施することが要求されているわけではないようです。
なお、この「プライバシーマーク付与適格性審査基準」の各内容は、「ガイドライン」に比べると全体的に項目は少なくなっていますが、概ね「ガイドライン」第二部に近いことが書かれています。
これらを踏まえ、差異と新規の要求事項を意識して、実物をご確認いただければと考えます。
https://privacymark.jp/system/guideline/pdf/pm_shinsakijun.pdf