「JIS Q 15001:2023」発行
皆さん、こんにちは。
(株)マネジメント総研の小山です。
2023年9月20日に「JIS Q 15001:2023」が発行されました。
(個人情報保護マネジメントシステム-要求事項)
この規格は、プライバシーマーク(Pマーク)付与適格性審査において、適合性の判断に用いられるものであり、「JIS Q 15001:2017」の改正版に当たります。
今回の主な改正趣旨は以下のとおりです。
(1) 改正個人情報保護法への整合
(2) 適用範囲の考え方の見直し
(3) マネジメントシステムに関する規定の統合
(1)は、令和2年及び令和3年改正法への整合対応です。具体的には、「附属書A(規定)」に仮名加工個人情報や個人関連情報が追加され、保有個人データの規律変更等が反映されました。
(2)は、事業者単位から事業者の一部や複数の事業者を対象とした規格となるよう見直されました。なお、事業者の一部とは、医療機関における病院やカンパニー制を敷いている会社等が該当します。
(3)は、マネジメントシステムに関する事項を規格本文(箇条4~10)に、個人情報保護法に対応する事項を附属書A(規定)に規定するよう構成が見直されました。旧規格では、マネジメントシステムに関する事項が規格本文と附属書Aの両方に規定されていたため、今回の改正により棲み分けが明確になり、わかりやすくなりました。
また、附属書の構成は、以下のとおり見直されました。
・附属書A:個人情報保護に関する管理策(規定)
・附属書B:マネジメントシステムに関する補足(参考)
・附属書C:附属書Aの管理策に関する補足(参考)
・附属書D:安全管理措置に関する管理目的及び管理策(参考)
・附属書E:JIS Q 15001:2023とJIS Q 15001:2017との対応(参考)
旧規格の「附属書B」が新規格の「附属書B」「附属書C」に分けられました。その影響で旧規格の「附属書C」は、新規格では「附属書D」に相当します。
「附属書D」は「JIS Q 27002:2014」がベースとなっていますが、もとになっている「ISO/IEC 27002」は2022年2月に改正されており、14分野114項目の管理策が4分野93項目に大幅に整理されています。今後、この内容を反映した「JIS Q 27002」改正版が発行されると、「附属書D」の内容が古くなるため、「JIS Q 15001」の改正が検討されるものと考えられます。また、個人情報保護法も3年毎に見直すことが定められているため、法改正に伴い、「JIS Q 15001」のアップデートが必要となると考えられます。
なお、プライバシーマーク制度では「JIS Q 15001」をもとに「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」を定め、審査基準として用いられています。
今回の規格改正に伴い、この「構築・運用指針」も改定される予定です。プライバシーマーク取得事業者としては、「構築・運用指針」の改定後に改正対応を行うのが手戻りがなくて良さそうです。