2017年7月20日、日本工業標準調査会よりJIS Q 15001「個人情報保護マネジメントシステム-要求事項」の意見受付が開始されました。意見締切日は9月17日。この日以降ドラフトは表示できなくなりますのでご注意下さい。

日本工業標準調査会 意見受付公告(JIS)

10年ぶりの改訂で(1999年、2006年)、個人情報保護法に合わせた2006年と同様、改正個人情報保護法との整合を取った2度目の大改訂です。主な改正点は以下の3点。

①改正個人情報保護法対応:改正個人情報保護法に対応するため、必要な条項を追加した。
②規格票の構成の変更:規格をマネジメントシステム部分(MS部)とマネジメント部分(管理策:付属書A)とに明確に分けた。
③解説記載事項の附属書への移動:従来解説としていた補足説明事項を付属書(B〜D)として充実させた。

ページ数は、現行の32p(本文11p、解説21p)から、63p(本文16p、付属書47p)に倍増しています。

規格の構成は大きく変化しましたが、プライバシーマーク審査の観点でのファーストインプレッションとしては、あまり大きな変化は感じませんでした。主な改正点は、改正個人情報保護法への対応と、審査で求めている事項を最大限取り込んだ内容だと思います。

本規格の肝は、「付属書A(規定)管理目的及び管理策」で、項番も旧版に合わせているのは助かります。付属書Aをしっかり理解すれば恐れることはありません。

以下に、旧版と付属書Aの内容を比較し、プライバシーマーク審査の観点から印象に残る改訂部分をまとめました。番号の前に付けた記号は、↑:厳しくなった、−:変化無し、↓:易しくなった等を意味します。あくまで、筆者のファーストインプレッションであることをご留意願います。

↓1.個人情報について
JIS固有の個人情報に係る定義が無くなり、原則として個人情報保護法(以下、「法」という)の定義と同義となった。つまり、「個人情報」は“生存する個人に関する情報”であって、死者の情報は原則対象外となった。また、「開示対象個人情報」という語は、法に合わせ「保有個人データ」となり、6ヶ月以内に消去されるものは除外されることとなった。

−2.個人情報保護方針(A.3.2
個人情報保護方針が内部向けと外部向けの2つとなった。ただし両者に大きな違いは無い。

−3.個人情報の特定(A.3.3.1)
個人情報の特定の内容が具体的になった。また、“組織は、特定した個人情報については、個人データと同様に取り扱わなければならない。”が追加された。これは、A.3.4.2、A3.4.3などで措置の対象を「個人データ」としたことから、個人情報が措置の対象から漏れないようにするためのようだ。

−4.リスクアセスメント及びリスク対策(A.3.3.3)
「残留リスク」という語が新たに用いられ、「残留リスク」の把握・管理が必須とされた。

↑5.利用目的の特定(A.3.4.2.1)
利用及び提供の範囲を、本人の受ける影響が予測できるように、可能な限り具体的にすることとなった。

−6.要配慮個人情報(A.3.4.2.3)
法に合わせ「特定の機微な個人情報」が「要配慮個人情報」となる。

−7.個人情報の取得(A.3.4.2.4/A.3.4.2.5)
従来の順序から逆転して、「個人情報を取得した場合の措置」(通知又は公表)が前に、「A.3.4.2.4のうち本人から直接書面によって取得する場合の措置」(同意)が後ろとなった。従って、利用目的を公表していない個人情報の直接書面取得が発生した場合は、事前に利用目的の通知又は公表を行わないと直接書面取得できないと解される。同意原則が廃されたと理解して良いのか不明。

−8.本人に連絡又は接触する場合の措置(3.4.2.7)
従来の「本人にアクセスする場合の措置」の名称が変わる。

−9.個人データの提供に関する措置(A.3.4.2.8)
措置の対象が「個人データ」となる。

↑10.法対応
外国にある第三者への提供の制限(A3.4.2.8.1)、第三者提供に係る記録の作成など(A.3.4.2.8.2)、第三者提供を受ける際の確認など(A.3.4.2.8.3)、匿名加工情報(A.3.4.2.9)が追加された。

−11.正確性の確保(A.3.4.3.1)
不要となった個人データの消去が求められるようになった。

−12.安全管理措置(A.3.4.3.2)
付属書Cを参照となった。当該付属書の内容は、ISO27001付属書Aの管理策と同じもののようだ。

↑13.委託先の監督(A.3.4.3.4)
選定基準に自社と同等以上の個人情報保護の水準にあることを客観的に確認できることが求められるようになった。また、契約内容に“h)契約終了後の措置”が追加された。

↑14.運用の確認(A.3.7.1)
運用の確認の状況をトップマネジメントへ報告することが義務づけられた。

−15.マネジメントレビュー(A.3.7.3)
従来の「代表者の見直し」が「マネジメントレビュー」となり、「A.3.7パフォーマンス評価」として、「運用の確認」、「内部監査」等と同列となった。

以上

0059_JISQ15001ドラフト