ISO発行・改訂情報

プライバシーマーク「構築・運用指針」の公表と「審査基準」の改定について

1. 構築・運用指針の公表と審査基準の改定

2021年8月30日に一般財団法人日本情報経済社会推進協会(JIPDEC)のプライバシーマーク推進センターから「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針の公表および審査基準の改定について」が公表されました。

JIPDECが公表した改定に関する経緯は「JIS Q 15001:2017個人情報保護マネジメントシステム-要求事項」(以下、「JISQ15001」)に準拠した「プライバシーマーク付与適格性審査基準」(以下、「審査基準」)に基づく審査でヒアリングや取組みで確認する内容をわかりやすい形で明記するためと説明されており、「令和2年 改正個人情報保護法」の全面施行と同じ、2022年4月から適用されます。

改定された「審査基準」では、「JISQ15001」への適合性は新たに発行された「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」(以下、「構築・運用指針」)で審査することとなり、従来の「審査基準」に規定されていた審査項目は「構築・運用指針」に移る形となりました。
また、新たに発行された「構築・運用指針」には、従来の「審査基準」では不明確だった「JISQ15001」本文の内容が追加されています(図1)。これにより、「JISQ15001」が要求する個人情報保護マネジメントシステム(PMS)の構築と運用について、審査で確認される内容がより明確になりました。

構築・運用指針とJISQ15001や法令との関係

図1:構築・運用指針とJISQ15001や法令との関係

2. 構築・運用指針の概要

「構築・運用指針」は、J.1~J.11の章立てで構成されており、各タイトルの後にカッコ書きで「JISQ15001」の本文と附属書Aの要求事項(実施すべき内容)と関連付けられています(表1)。

今回の改定で注目すべき点は、「構築・運用指針」のJ.1~J.7で、従来の「審査基準」にはなかった「JISQ15001」本文の要求事項が追加されていることです。従って、外部・内部の課題の明確化(J.1.1)や、利害関係者のニーズ及び期待の特定(J.1.2)、個人情報保護目的の計画策定(J.3.2)など、以前の審査にはなかった新たな確認内容が追加されています。

J.8~J.11は、従来の「審査基準」から殆ど変わっていませんが、「令和2年 改正個人情報保護法」には対応していないので、2022年1月に仮名加工情報や個人関連情報の第三者提供規制などの要求事項が追記・修正された「構築・運用指針」が公表される予定です。

表1:構築・運用指針の構成

項番 タイトル 項番 タイトル
J.1 組織の状況(表題) J.8 取得、利用及び提供に関する原則(表題)
J.1.1 組織及びその状況の理解(4.1) J.8.1 利用目的の特定(A.3.4.2.1)
J.1.2 利害関係者のニーズ及び期待の理解(4.2) J.8.2 適正な取得(A.3.4.2.2)
J.1.3 法令、国が定める指針その他の規範(A.3.3.2) J.8.3 要配慮個人情報(A.3.4.2.3)
J.1.4 個人情報保護マネジメントシステムの適用範囲の決定(4.3) J.8.4 個人情報を取得した場合の措置(A.3.4.2.4)
J.1.5 個人情報保護マネジメントシステム(4.4) J.8.5 J.8.4のうち本人から直接書面によって取得する場合の措置(A.3.4.2.5)
J.2 リーダーシップ(表題) J.8.6 利用に関する措置(A.3.4.2.6)
J.2.1 リーダーシップ及びコミットメント(5.1) J.8.7 本人に連絡又は接触する場合の措置(A.3.4.2.7)
J.2.2 個人情報保護方針(5.2.1、5.2.2、A.3.2.1、A.3.2.2) J.8.8 個人データの提供に関する措置(A.3.4.2.8)
J.2.3.1 組織の役割、責任及び権限(5.3) J.8.8.1 外国にある第三者への提供の制限(A.3.4.2.8.1)
J.2.3.2 個人情報保護管理者と個人情報保護監査責任者(A.3.3.4) J.8.8.2 第三者提供に係る記録の作成など(A.3.4.2.8.2)
J.2.4 管理目的及び管理策(一般)(A.3.1.1) J.8.8.3 第三者提供を受ける際の確認など(A.3.4.2.8.3)
J.3 計画(表題) J.8.9 匿名加工情報(A.3.4.2.9)
J.3.1.1 個人情報の特定(A.3.3.1) J.9 適正管理(表題)
J.3.1.2 リスク及び機会に対処する活動(一般)(6.1.1) J.9.1 正確性の確保(A.3.4.3.1)
J.3.1.3 個人情報保護リスクアセスメント(6.1.2、A.3.3.3) J.9.2 安全管理措置(A.3.4.3.2)
J.3.1.4 個人情報保護リスク対応(6.1.3、A.3.3.3) J.9.3 従業者の監督(A.3.4.3.3)
J.3.2 個人情報保護目的及びそれを達成するための計画策定(6.2) J.9.4 委託先の監督(A.3.4.3.4)
J.3.3 計画策定(A.3.3.6) J.10 個人情報に関する本人の権利(表題)
J.4 支援(表題) J.10.1 個人情報に関する権利(A.3.4.4.1)
J.4.1 資源(7.1) J.10.2 開示等の請求等に応じる手続(A.3.4.4.2)
J.4.2 力量(7.2) J.10.3 保有個人データに関する事項の周知など(A.3.4.4.3)
J.4.3 認識(7.3、A.3.4.5) J.10.4 保有個人データの利用目的の通知(A.3.4.4.4)
J.4.4.1 コミュニケーション(7.4) J.10.5 保有個人データの開示(A.3.4.4.5)
J.4.4.2 緊急事態への準備(A.3.3.7) J.10.6 保有個人データの訂正、追加又は削除(A.3.4.4.6)
J.4.5.1 文書化した情報(一般)(7.5.1、A.3.5.1) J.10.7 保有個人データの利用又は提供の拒否権(A.3.4.4.7)
J.4.5.2 文書化した情報の管理(7.5.3) J.11 苦情及び相談への対応(表題)
J.4.5.3 文書化した情報(記録を除く)の管理(7.5.2、A.3.5.2) J.11.1 苦情及び相談への対応(A.3.6)
J.4.5.4 内部規程(A.3.3.5)    
J.4.5.5 文書化した情報のうち、記録の管理(A.3.5.3)    
J.5 運用(表題)    
J.5.1 運用(8.1、8.2、8.3、A.3.4.1)    
J.6 パフォーマンス評価(表題)    
J.6.1 監視、測定、分析及び評価(9.1、A.3.7.1)    
J.6.2 内部監査(9.2、A.3.7.2)    
J.6.3 マネジメントレビュー(9.3、A.3.7.3)    
J.7 改善(表題)    
J.7.1 不適合及び是正処置(10.1、A.3.8)    
J.7.2 継続的改善(10.2)    

3. 構築・運用指針への対応準備

「構築・運用指針」の公表で、現行の個人情報保護マネジメントシステム(PMS)の基本的な取り組みが大きく変更されることはありませんが、以下のような対応が必要となります。

<必須>
  1. 「JISQ15001」本文の要求事項に対応するように文書を改訂し、運用する。
  2. 「令和2年 改正個人情報保護法」に対応するように文書を改訂し、運用する。
<推奨>
  1. 個人情報保護の基本規定を「構築・運用指針」の章立てに合わせて改訂する。
  2. 個人情報保護リスクアセスメントを「JISQ15001」本文の要求事項に対応するように見直しする。

4. テクノソフトの構築・運用指針への対応支援

テクノソフトでは「構築・運用指針」への対応支援を実施いたします。
下記の支援項目についてご希望内容をご確認いただき、お問合せください(表2)。
支援内容の詳細を決定し費用をお見積りいたします。

表2:「構築・運用指針」への対応支援項目

支援項目
支援内容
成果物/支援結果
A
「構築・運用指針」の解説
「構築・運用指針」の内容についての解説 指針の理解
B
PMS文書の改定
貴社担当者との打合せにて、PMS文書の改定をサポート PMS文書
C
個人情報保護リスクアセスメント手順の見直しと実施結果のレビュー
貴社担当者との打合せにて、個人情報保護リスクアセスメントの見直しをサポート 個人情報保護リスクアセスメント文書と実施記録
D
セキュリティ関連規定の改定
貴社担当者との打合せにて、セキュリティ関連規定の改定をサポート セキュリティ関連規定
E
個人情報保護教育の支援
個人情報保護や貴社規定に関する教育資料の作成と教育実施のサポート セキュリティ一般教育資料
F
内部監査員養成セミナー
1日の訪問セミナーで実施し修了証を交付 内部監査員
G
申請書類の作成支援
申請書類作成の説明と準備のサポート 申請書類
H
審査指摘への対応
貴社担当者との打合せにて、審査の指摘対応の検討と改善報告書作成のサポート 改善報告書
無料見積もりはこちらまで