2018-02-01 06:50:17

JIS改正に伴うプライバシーマーク審査基準の改正

テーマ:情報セキュリティマネジメント

皆さん、こんにちは。
(株)マネジメント総研の小山です。

「JIS Q 15001」の改正に伴い、2018年1月12日に、プライバシーマーク制度を運営するJIPDEC(日本情報経済社会推進協会)より、「プライバシーマーク付与適格性審査基準」が公表されました。


プライバシーマークの審査では、「JIS Q 15001」の要求事項に対する適合性が審査されますが、審査の際の基準の参考資料として、これまで「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第2版-」第二部「JIS Q 15001 各要求事項についてのプライバシーマーク付与適格性審査の基準」がありました。
https://privacymark.jp/system/guideline/pdf/guideline_V2.0_160104.pdf

上記「ガイドライン」は、「JIS Q 15001:2006」に対応するものであり、今回ご紹介する「プライバシーマーク付与適格性審査基準」は、改正されたJIS、すなわち、「JIS Q 15001:2017」に対応する審査基準の位置づけとなります。


この「ガイドライン」も今後改訂されるようですが、今回公表された「プライバシーマーク付与適格性審査基準」には、以下のように記載されていることから、

○プライバシーマーク付与適格性審査との関係
・プライバシーマーク付与適格性審査では、事業者における
 個人情報の取り扱いの状況及びこの審査項目で定められた
 事項の実施状況について確認を行う。


2017年版JISでの審査においては、この「プライバシーマーク付与適格性審査基準」に記載されている審査項目を用いて審査が行われるものと考えられます。


この「プライバシーマーク付与適格性審査基準」は、「A.3.1.1 一般」から始まり、「A.3.8 是正処置」で終わっており、それぞれは、「審査項目」「確認・方法」及び「留意事項」で構成されています。

前回ご紹介のとおり、「JIS Q 15001:2017」では、「本文」は、ISOのマネジメントシステム規格と同じ10章構成で要求事項が記載され、これまでの要求事項(「JIS Q 15001:2006」の「本文」に相当するもの)は、「附属書A」に位置づけられました。

この「プライバシーマーク付与適格性審査基準」は、「附属書A」をもとに構成されていることから、プライバシーマーク付与適格性審査では、「JIS Q 15001:2017」の要求事項である「本文」ではなく「附属書A」を中心に確認されることがうかがえます。


また、「JIS Q 15001:2017」には、114項目の管理策が記載された「附属書C」が設けられ、「附属書A」(A.3.4.3.2 安全管理措置)に、“安全管理措置に関する管理目的及び管理策は、附属書Cを参照”という記述があることから、「附属書C」が審査上、どのように取扱われるかが気になるところでした。

これについては、この「プライバシーマーク付与適格性審査基準」(A.3.4.3.2 安全管理措置)《留意事項》に、“附属書Cは安全管理措置を決定するための参考であり、 附属書Cに示す事項を一律に求めるものではない。”とあることから、114項目の管理策を一律に実施することが要求されているわけではないようです。


なお、この「プライバシーマーク付与適格性審査基準」の各内容は、「ガイドライン」に比べると全体的に項目は少なくなっていますが、概ね「ガイドライン」第二部に近いことが書かれています。


これらを踏まえ、差異と新規の要求事項を意識して、実物をご確認いただければと考えます。
https://privacymark.jp/system/guideline/pdf/pm_shinsakijun.pdf

 

 

 

 

 

株式会社マネジメント総研さんの読者になろう

ブログの更新情報が受け取れて、アクセスが簡単になります

Ameba人気のブログ

Amebaトピックス

    ブログをはじめる

    たくさんの芸能人・有名人が
    書いているAmebaブログを
    無料で簡単にはじめることができます。

    公式トップブロガーへ応募

    多くの方にご紹介したいブログを
    執筆する方を「公式トップブロガー」
    として認定しております。

    芸能人・有名人ブログを開設

    Amebaブログでは、芸能人・有名人ブログを
    ご希望される著名人の方/事務所様を
    随時募集しております。