2018年12月25日発行の会報214号で、本連載は終結しました。

10ヶ月間の連載をご購読いただきありがとうございました。 審査基準の改定やGDPR対応補足ルールなど、日々の環境変化に追いついていない部分につきましては、何卒ご容赦ください。 ご意見等は　SAAJHP　お問い合わせ画面
https://www.saaj.or.jp/toiawase/index.html　より お願いいたします。
　

【TOPICS】JIS改正にともなう、プライバシーマーク申請時の注意！　　（2018/2/25会報）

2018年1月12日、JIPDECプライバシーマーク推進センターより、新審査基準の「プライバシーマーク付与適格性審査基準」が公表されました。 新たな審査基準は、PMSの対応において、

1. 改正個人情報保護法への対応
   
2. 個人情報の管理台帳に追記する事項（保管期限）
   
3. 従業者の教育に盛り込む必要がある事項（個人情報保護方針）
   
4. 運用の確認（日常点検や、それに伴う是正、代表者への報告など）

が必要になること、また、業務の必要に応じて、

5. 共同利用について、共同利用者間における契約で定める事項、
   
6. 委託契約に盛り込むべき事項（委託契約終了時の措置）

が追加になります。

2018年8月1日より、上記の新審査基準によるプライバシーマーク審査の適用が開始されますが、
更新事業者の申請については、移行期間が2年間設けられています。
　　　JIPDECホームページより引用　　https://www.workstrust.com/info/p_newjisq.html

現行（2006年版）審査基準による更新申請の場合、新審査基準未対応の運用状況は、継続的改善事項に準ずる指摘となり、次回（2年後）の更新審査までに対応することになります。

新審査基準による更新申請の場合は、新審査基準への対応が完了していなかった場合、指摘事項もしくは、継続的改善事項に準ずる指摘となります。

！注意！：新規申請事業者は、
2018年８月1日より、「新審査基準に基づく申請」のみ受け付けられます。

2017年12月20日、日本規格協会から、個人情報保護マネジメントシステム－要求事項【JIS Q15001:2017】が発表されました。2017年版の規格本文は、事業者が個人情報保護マネジメントシステム（以下PMSと呼ぶ）と、PMS以外の他のマネジメントシステム規格を併用するため、「マネジメントシステム」の概念を統一し、本来PMSには無かった概念（測定など）が追加され、用語の変更（パフォーマンス評価など）も示されています。また旧版（2006年版）の本文に存在していた、「〜すること」等の管理策は、附属書A（規定）に示されることとなりました。

2018年3月号の会報から、【JIS Q15001:2017】について、個人情報保護監査研究会としてできる限り客観的に、かつ独自の考察を加えて、「具体的に何を理解すればよいのか」を研究して参ります。

このページは、2018年3月号の内容と必ずしも同じではなく、また今後の【JIS Q15001:2017】の解釈の変化に応じて、改定していきます。　次回からは、「付属書A（規定）管理目的及び管理策」の考察を開始する予定です。

この規格は、“対応国際規格は現時点で制定されていない。” と書かれており、国際規格を多少なりとも視野に入れているようです。また、他のマネジメントシステムとこの規格との対応表が、参考文献（附属書D末尾）に示されました。

表２　　　　　　　　　　　　　　　　　参考文献
JIS Q 0073:2010	リスクマネジメント−用語
JIS Q 10002:2015	品質マネジメント－顧客満足－組織における苦情対応のための指針
JIS Q 19011:2012	マネジメントシステム監査のための指針
JIS Q 27000：2014	情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－用語
JIS Q 27001：2014	情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－要求事項
JIS Q 27002：2014	情報技術－セキュリティ技術－情報セキュリティ管理策の実践のための規範
JIS Q 31000：2010	リスクマネジメント－原則及び指針
ISO/IEC27005：2011	Information technology−Security techniques −Information security risk management　情報技術－セキュリティ技術－情報セキュリティリスクマネジメント
ISO/IEC 専門業務用指針（AnnexSL）	第一部 統合版ISO補足指針の付属書SLに規定する上位構造（HLS）

 

PMSは、“リスクマネジメントプロセスを適用することによって個人情報の保護を維持し”と示されました。 旧版2006年版規格においても、「個人情報の特定とリスク分析」をベースにしていましたが、この新規格でそれが明言されました。

2017年規格は、ISO/IEC専門業務用指針　第1部　統合版ISO補足指針の附属書SL（マネジメントシステム規格の提案＝上記表の⑨、以下AnnexSLと呼ぶ）を参考にしていると記されています。興味のある方は、これらの参考文献を紐解いていただくと、大いに参考となることでしょう。

また、2017規格の、5.リーダーシップ　では、“組織のプロセスへのPMS要求事項の統合を確実にする。”とし、6.計画＞6.1.1一般　では、“組織”は、“その活動のPMSプロセスへの統合及び実施” を計画するよう求めています。

ご参考までに、AnnexSLと、各マネジメントシステムとの項目番号で比較してみました。

表３　　vocabulary	用語	PMS	AnnexSL	ISMS	QMS
organization	組織	3.1	3.1	2.57	3.2.1
interested party	利害関係者	3.2	3.2	2.41	3.2.3
requirement	要求事項	3.3	3.3	2.63	3.6.4
management system	マネジメントシステム	3.4	3.4	2.46	3.5.3
top management	トップマネジメント	3.5	3.5	2.84	3.1.1
effectiveness	有効性	3.6	3.6	2.24	3.7.11
policy	方針	3.7	3.7	2.6	3.5.8
objective	目的	3.8	3.8	2.56	3.7.1
risk	リスク	3.9	3.9	2.68	3.7.9
competence	力量	3.10	3.10	2.11	3.10.4
documented information	文書化した情報	3.11	3.11	2.23	3.8.6
process	プロセス	3.12	3.12	2.61	3.4.1
performance	パフォーマンス	3.13	3.13	2.59	3.7.8
monitoring	監視	3.14	3.15	2.52	3.11.3
measurement	測定	3.15	3.16	2.48	3.11.4
audit	監査	3.16	3.17	2.5	3.13.1
conformity	適合	3.17	3.18	2.13	3.6.11
nonconformity	不適合	3.18	3.19	－	3.6.9
corrective action	是正処置	3.19	3.20	2.19	3.12.2
continual improvement	継続的改善	3.20	3.21	2.15	3.3.2

Monitoring(監視)から、「PMS」と「AnnexSL」とは0.01ずれています。ISMSもQMSも独自の発展をしているので、気にするまでのことはないようです。（なお、項目番号は文字列です。小数点ではないので注意が必要です。）

上記のように、PMS、ISMS、QMS で項目番号が異なるので、統一した規程番号とすることには無理があります。
しかし、統合マネジメントシステムとして、せめて用語の統一を図ることは二つ以上のマネジメントシステム規格を運用する組織にとって有用な取り組みとなることでしょう。

・・・この組織は、個人情報の保護に関する法律（平成15年法律第57号）（以下、個人情報保護法という。）に定める個人情報取扱事業者を意味する。

※ 事業者→組織、と用語が変わり、個人情報保護法との関係が示されました。

この規格が引用する規格はない。

※ ただし、解説（P65）には、“個人情報保護と情報セキュリティとは安全管理措置の点で共通する事項が多いことから、AnnexSL に整合したマネジメントシステム規格として，先行して制定されている JIS Q 27001:2014（情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－要求事項）を参考とした。” と記載されています。

この規格で用いる主な用語及び定義は、個人情報保護法による。その他の主な用語及び定義は、次による。

※ 重要なのは、用語は個人情報保護法による。とされたことです。　 “次による”と定義された用語で、重要な用語は、表３　に列挙しました。

※　また、以下の用語対応表が、附属書D末尾に示されています。

表D.2－用語対応表
この規格（JIS Q15001：2017）	旧規格（JIS Q15001：2006）
組織	事業者
トップマネジメント	代表者、事業者の代表者
個人情報保護リスク	リスク
個人情報保護リスクアセスメント	リスクの認識、分析
個人情報保護リスク対応	（リスクの）対策
残留リスク	残存リスク（規格本文ではなく解説だけに記載）
認識、教育など	教育
文書化した情報	個人情報保護マネジメントシステム文書
文書化した情報（記録を除く。）	文書
文書化した情報のうち記録	記録
運用	実施及び運用
本人に連絡又は接触する	本人にアクセスする
パフォーマンス評価	点検、代表者による見直し
内部監査	監査
マネジメントレビュー	代表者による見直し
是正処置	是正処置及び予防処置

※組織の目的、組織の能力、外部及び内部の課題、利害関係者のニーズを理解し、PMSの適用範囲を決定しなければならないことが明言されました。

5.2.1 内部向け個人情報保護方針、5.2.2 外部向け個人情報保護方針

※ 2018年2月1日現在、正式な見解は出ていませんが、必ずしも内部向け、外部向けと、二つの個人情報保護方針を作成しなければならないということではないようです。

※また、5.1 b) に、トップマネジメントは“組織のプロセスへのPMS要求事項の統合を確実にする。”とあり、PMSに関するリーダーシップ及びコミットメントを実証しなければならないとされました。

※ 計画には、PMSの活動をどのようにマネジメントシステムのプロセスに統合し、組織内に展開するかの決定を含んでいることが示されています。また、2006年版にあった、特定、法令等の規範、緊急事態への準備などの具体的な取り組みは、「附属書A（規定）」に記述されることになりました。

組織は、PMSの確立、実施、維持及び継続的改善に必要な資源を決定し、提供しなければならない。

※ 資源、力量（意図した結果を達成するために，知識及び技能を適用する能力。）、認識、コミュニケーション、文書化した情報など、組織が、何が必要なのかを決定し確実に提供すべきとしています。

必要なプロセスを計画し、実施し、かつ、管理しなければならない。

※さらに、個人情報保護リスクアセスメントを実施しなければならない。と原則的に明言されています。

※ パフォーマンスとは、“測定可能な結果” のこと。内部監査とマネジメントレビュー（2006年版では“事業者の代表者による見直し”）について書かれています。2006年版では、是正処置及び予防処置が含まれていましたが、他のマネジメントシステムの近接性に配慮し、別項目とされました。

※ 不適合が発生した場合には、不適合をレビューし、また取った是正処置の有効性をレビューし、必要な場合に、PMSの変更を行うとしています。またPMSの適切性、妥当性及び有効性を継続的に改善しなければならない。としています。