SAAJTOP 目次 1適用範囲〜 2計画〜 3資源〜 4実施〜 5直接書面取得〜 6提供〜 
7匿名加工情報 8個人情報に関する権利 9認識 10パフォーマンス評価〜 
「PMS-要求事項【JIS Q15001:2017】について]規格本文 
  特定非営利活動法人 日本システム監査人協会 個人情報保護監査研究会
https://www.saaj.or.jp/shibu/kojin.html
主査:斎藤由紀子

2018年12月25日発行の会報214号で、本連載は終結しました。

10ヶ月間の連載をご購読いただきありがとうございました。 審査基準の改定やGDPR対応補足ルールなど、日々の環境変化に追いついていない部分につきましては、何卒ご容赦ください。 ご意見等は SAAJHP お問い合わせ画面
https://www.saaj.or.jp/toiawase/index.html より お願いいたします。
 

TOPICS】JIS改正にともなう、プライバシーマーク申請時の注意!  (2018/2/25会報

2018年1月12日、JIPDECプライバシーマーク推進センターより、新審査基準の「プライバシーマーク付与適格性審査基準」が公表されました。 新たな審査基準は、PMSの対応において、

  1. 改正個人情報保護法への対応
  2. 個人情報の管理台帳に追記する事項(保管期限)
  3. 従業者の教育に盛り込む必要がある事項(個人情報保護方針)
  4. 運用の確認(日常点検や、それに伴う是正、代表者への報告など)

が必要になること、また、業務の必要に応じて、

  1. 共同利用について、共同利用者間における契約で定める事項、
  2. 委託契約に盛り込むべき事項(委託契約終了時の措置)

が追加になります。

2018年8月1日より、上記の新審査基準によるプライバシーマーク審査の適用が開始されますが、
更新事業者の申請については、移行期間が2年間設けられています。
   JIPDECホームページより引用  https://www.workstrust.com/info/p_newjisq.html

現行(2006年版)審査基準による更新申請の場合、新審査基準未対応の運用状況は、継続的改善事項に準ずる指摘となり、次回(2年後)の更新審査までに対応することになります。

新審査基準による更新申請の場合は、新審査基準への対応が完了していなかった場合、指摘事項もしくは、継続的改善事項に準ずる指摘となります。

!注意!:新規申請事業者は、
2018年8月1日より、「新審査基準に基づく申請」のみ受け付けられます。

2018年3月号.PDF                  規格本文 付属書A(規定)管理目的及び管理策 

2017年12月20日、日本規格協会から、個人情報保護マネジメントシステム-要求事項【JIS Q15001:2017】が発表されました。2017年版の規格本文は、事業者が個人情報保護マネジメントシステム(以下PMSと呼ぶ)と、PMS以外の他のマネジメントシステム規格を併用するため、「マネジメントシステム」の概念を統一し、本来PMSには無かった概念(測定など)が追加され、用語の変更(パフォーマンス評価など)も示されています。また旧版(2006年版)の本文に存在していた、「〜すること」等の管理策は、附属書A(規定)に示されることとなりました。

2018年3月号の会報から、【JIS Q15001:2017】について、個人情報保護監査研究会としてできる限り客観的に、かつ独自の考察を加えて、「具体的に何を理解すればよいのか」を研究して参ります。

このページは、2018年3月号の内容と必ずしも同じではなく、また今後の【JIS Q15001:2017】の解釈の変化に応じて、改定していきます。 次回からは、「付属書A(規定)管理目的及び管理策」の考察を開始する予定です。

表1 【JIS Q15001:2017規格本文】項目 赤字:注目点   旧版(2006年版)項目
0 序文 1    
0.1 概要 1    
0.2 他のマネジメントシステム規格との近接 1    
1 適用範囲 2 1 適用範囲 1
2 引用規格 2    
3 用語及び定義 (3.1 組織~3.47 リスク所有者 2 2 用語及び定義(2.1個人情報〜2.8不適合) 1
4 組織の状況 9    
4.1 組織及びその状況の理解 9 3.3.2 法令、国が定める指針その他の規範 2
4.2 利害関係者のニーズ及び期待の理解 9    
4.3 個人情報保護マネジメントシステムの適用範囲の決定 9 3.3.1 個人情報の特定 2
4.4 個人情報保護マネジメントシステム 10 3 要求事項、3.3.1個人情報の特定 2
5 リーダーシップ 10    
5.1 リーダーシップ及びコミットメント 10 3.3.4 資源、役割、責任及び権限 3
5.2 方針 10 3.2 個人情報保護方針 2
5.3 組織の役割、役割、責任及び権限 11 3.3.4 資源、役割、責任及び権限 3
6 計画 11 3.3 計画 2
6.1 リスク及び機会に対処する活動 11 3.3.3 リスクなどの認識、分析及び対策 3
6.2 個人情報保護目的及びそれを達成するための計画策定 12 3.3.6 計画書 3
7 支援 13 3.3.4 資源、役割、責任及び権限 3
7.1 資源 13
7.2 力量 13
7.3 認識 13 3.4.5 教育 9
7.4 コミュニケーション 13 3.3.7 緊急事態への準備 4
7.5 文書化した情報 13 3.5 個人情報保護マネジメントシステム文書 9
8 運用 14 3.4 実施及び運用 4
8.1 運用の計画及び管理 14 3.4.1 運用手順 4
8.2 個人情報保護リスクアセスメント 14 3.4 実施及び運用 4
8.3 個人情報保護リスク対応 14
9 パフォーマンス評価 15 3.7 点検 10
9.1 監視、測定、分析及び評価 15 3.7.1 運用の確認 10
9.2 内部監査 15 3.7.2 監査 10
9.3 マネジメントレビュー 15 3.9 事業者の代表者による見直し 11
10 改善 16 3.8 是正処置及び予防処置 10
10.1 不適合及び是正処置 16
10.2 継続的改善 16 3.1 一般的要求事項 2
付属書A(規定)管理目的及び管理策 17  
付属書B(参考)管理策に関する補足 29  
付属書C(参考)安全管理措置に関する管理目的及び管理策 48  
付属書D(参考)新旧対応表  60  
参考文献 63  
解説 64  
0.序文

この規格は、“対応国際規格は現時点で制定されていない。” と書かれており、国際規格を多少なりとも視野に入れているようです。また、他のマネジメントシステムとこの規格との対応表が、参考文献(附属書D末尾)に示されました。

表2                 参考文献
JIS Q 0073:2010 リスクマネジメント−用語
JIS Q 10002:2015 品質マネジメント-顧客満足-組織における苦情対応のための指針
JIS Q 19011:2012 マネジメントシステム監査のための指針
JIS Q 27000:2014 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語
JIS Q 27001:2014 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項
JIS Q 27002:2014 情報技術-セキュリティ技術-情報セキュリティ管理策の実践のための規範
JIS Q 31000:2010 リスクマネジメント-原則及び指針
ISO/IEC27005:2011 Information technology−Security techniques −Information security risk management 情報技術-セキュリティ技術-情報セキュリティリスクマネジメント
ISO/IEC 専門業務用指針(AnnexSL) 第一部 統合版ISO補足指針の付属書SLに規定する上位構造(HLS)

 

0.1 概要
PMSは、“リスクマネジメントプロセスを適用することによって個人情報の保護を維持し”と示されました。 旧版2006年版規格においても、「個人情報の特定とリスク分析」をベースにしていましたが、この新規格でそれが明言されました。
0.2 他のマネジメントシステム規格との近接性

2017年規格は、ISO/IEC専門業務用指針 第1部 統合版ISO補足指針の附属書SL(マネジメントシステム規格の提案=上記表の⑨、以下AnnexSLと呼ぶ)を参考にしていると記されています。興味のある方は、これらの参考文献を紐解いていただくと、大いに参考となることでしょう。

また、2017規格の、5.リーダーシップ では、“組織のプロセスへのPMS要求事項の統合を確実にする。”とし、6.計画>6.1.1一般 では、“組織”は、“その活動のPMSプロセスへの統合及び実施” を計画するよう求めています。

ご参考までに、AnnexSLと、各マネジメントシステムとの項目番号で比較してみました。

表3  vocabulary 用語 PMS AnnexSL ISMS QMS
organization 組織 3.1 3.1 2.57 3.2.1
interested party 利害関係者 3.2 3.2 2.41 3.2.3
requirement 要求事項 3.3 3.3 2.63 3.6.4
management system マネジメントシステム 3.4 3.4 2.46 3.5.3
top management トップマネジメント 3.5 3.5 2.84 3.1.1
effectiveness 有効性 3.6 3.6 2.24 3.7.11
policy 方針 3.7 3.7 2.6 3.5.8
objective 目的 3.8 3.8 2.56 3.7.1
risk リスク 3.9 3.9 2.68 3.7.9
competence 力量 3.10 3.10 2.11 3.10.4
documented information 文書化した情報 3.11 3.11 2.23 3.8.6
process プロセス 3.12 3.12 2.61 3.4.1
performance パフォーマンス 3.13 3.13 2.59 3.7.8
monitoring 監視 3.14 3.15 2.52 3.11.3
measurement 測定 3.15 3.16 2.48 3.11.4
audit 監査 3.16 3.17 2.5 3.13.1
conformity 適合 3.17 3.18 2.13 3.6.11
nonconformity 不適合 3.18 3.19 3.6.9
corrective action 是正処置 3.19 3.20 2.19 3.12.2
continual improvement 継続的改善 3.20 3.21 2.15 3.3.2

Monitoring(監視)から、「PMS」と「AnnexSL」とは0.01ずれています。ISMSもQMSも独自の発展をしているので、気にするまでのことはないようです。(なお、項目番号は文字列です。小数点ではないので注意が必要です。)

上記のように、PMS、ISMS、QMS で項目番号が異なるので、統一した規程番号とすることには無理があります。
しかし、統合マネジメントシステムとして、せめて用語の統一を図ることは二つ以上のマネジメントシステム規格を運用する組織にとって有用な取り組みとなることでしょう。

以下、規格の見出しとトピックスのみを羅列します。     青字:SAAJPMS研究会コメント
1. 適用範囲

・・・この組織は、個人情報の保護に関する法律(平成15年法律第57号)(以下、個人情報保護法という。)に定める個人情報取扱事業者を意味する。

※ 事業者→組織、と用語が変わり、個人情報保護法との関係が示されました。
2. 引用規格

この規格が引用する規格はない。

※ ただし、解説(P65)には、“個人情報保護と情報セキュリティとは安全管理措置の点で共通する事項が多いことから、AnnexSL に整合したマネジメントシステム規格として,先行して制定されている JIS Q 27001:2014(情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項)を参考とした。” と記載されています。

3. 用語及び定義

この規格で用いる主な用語及び定義は、個人情報保護法による。その他の主な用語及び定義は、次による。

※ 重要なのは、用語は個人情報保護法による。とされたことです。  “次による”と定義された用語で、重要な用語は、表3 に列挙しました。

※ また、以下の用語対応表が、附属書D末尾に示されています。

表D.2-用語対応表
この規格(JIS Q15001:2017) 旧規格(JIS Q15001:2006)
組織 事業者
トップマネジメント 代表者、事業者の代表者
個人情報保護リスク リスク
個人情報保護リスクアセスメント リスクの認識、分析
個人情報保護リスク対応 (リスクの)対策
残留リスク 残存リスク(規格本文ではなく解説だけに記載)
認識、教育など 教育
文書化した情報 個人情報保護マネジメントシステム文書
文書化した情報(記録を除く。) 文書
文書化した情報のうち記録 記録
運用 実施及び運用
本人に連絡又は接触する 本人にアクセスする
パフォーマンス評価 点検、代表者による見直し 
内部監査 監査
マネジメントレビュー 代表者による見直し 
是正処置 是正処置及び予防処置
4. 組織の状況

※組織の目的、組織の能力、外部及び内部の課題、利害関係者のニーズを理解し、PMSの適用範囲を決定しなければならないことが明言されました。

5.リーダーシップ

5.2.1 内部向け個人情報保護方針、5.2.2 外部向け個人情報保護方針

※ 2018年2月1日現在、正式な見解は出ていませんが、必ずしも内部向け、外部向けと、二つの個人情報保護方針を作成しなければならないということではないようです。

※また、5.1 b) に、トップマネジメントは“組織のプロセスへのPMS要求事項の統合を確実にする。”とあり、PMSに関するリーダーシップ及びコミットメントを実証しなければならないとされました。

6.計画

※ 計画には、PMSの活動をどのようにマネジメントシステムのプロセスに統合し、組織内に展開するかの決定を含んでいることが示されています。また、2006年版にあった、特定、法令等の規範、緊急事態への準備などの具体的な取り組みは、「附属書A(規定)」に記述されることになりました。

7.支援

組織は、PMSの確立、実施、維持及び継続的改善に必要な資源を決定し、提供しなければならない。

※ 資源、力量(意図した結果を達成するために,知識及び技能を適用する能力。)、認識、コミュニケーション、文書化した情報など、組織が、何が必要なのかを決定し確実に提供すべきとしています。

8.運用

必要なプロセスを計画し、実施し、かつ、管理しなければならない。

※さらに、個人情報保護リスクアセスメントを実施しなければならない。と原則的に明言されています。
9.パフォーマンス評価
※ パフォーマンスとは、“測定可能な結果” のこと。内部監査とマネジメントレビュー(2006年版では“事業者の代表者による見直し”)について書かれています。2006年版では、是正処置及び予防処置が含まれていましたが、他のマネジメントシステムの近接性に配慮し、別項目とされました。
10.改善

※ 不適合が発生した場合には、不適合をレビューし、また取った是正処置の有効性をレビューし、必要な場合に、PMSの変更を行うとしています。またPMSの適切性、妥当性及び有効性を継続的に改善しなければならない。としています。

                             次回→ 付属書A(規定)管理目的及び管理策