プライバシーマーク「構築・運用指針」の改定について
1. 構築・運用指針の公表と審査基準の改定
2022年1月19日に一般財団法人日本情報経済社会推進協会(JIPDEC)のプライバシーマーク推進センターから「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」の改定版が公表されました。(公表情報はこちら)
JIPDECが公表した改定は、「JIS Q 15001:2017個人情報保護マネジメントシステム-要求事項」(以下、「JISQ15001」)に準拠した「プライバシーマーク付与適格性審査基準」(以下、「審査基準」)に基づく審査で、ヒアリングや取組みで確認する内容をわかりやすい形で明記するために行われました。この改定は、「令和2年 改正個人情報保護法」の全面施行と同じ、2022年4月から適用されます。
改定された「審査基準」では、新たに発行された「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」(以下、「構築・運用指針」)に基づいて「JISQ15001」への適合性を審査します。従来の「審査基準」に規定されていた審査項目は、新たな「構築・運用指針」に含まれています。
また、新たに発行された「構築・運用指針」には、従来の「審査基準」では不明確だった「JISQ15001」本文の内容が追加されています(図1)。これにより、「JISQ15001」が要求する全ての要求事項について、審査で確認されることが明確になりました。
(図1) 構築・運用指針とJISQ15001や法令との関係
2. 構築・運用指針の概要
「構築・運用指針」は、J.1~J.11の章立てで構成されており、各タイトルの後にカッコ書きで「JISQ15001」の本文と附属書Aの要求事項(実施すべき内容)と関連付けられています(表1)。
今回の改定で注目すべき点は、「構築・運用指針」のJ.1~J.7で、従来の「審査基準」にはなかった「JISQ15001」本文の要求事項が追加されていることです。従って、外部・内部の課題の明確化(J.1.1)や、利害関係者のニーズ及び期待の特定(J.1.2)、個人情報保護目的の計画策定(J.3.2)など、以前の審査にはなかった新たな確認内容が追加されます。
J.8~J.11は、従来の「審査基準」から殆ど変わっていませんが、2022年1月19日の改正で「令和2年 改正個人情報保護法」への対応内容が追加されました。
(表1):構築・運用指針の構成
| 項番 | タイトル | 項番 | タイトル |
| J.1 | 組織の状況(表題) | J.8 | 取得、利用及び提供に関する原則(表題) |
| J.1.1 | 組織及びその状況の理解(4.1) | J.8.1 | 利用目的の特定(A.3.4.2.1) |
| J.1.2 | 利害関係者のニーズ及び期待の理解(4.2) | J.8.2 | 適正な取得(A.3.4.2.2) |
| J.1.3 | 法令、国が定める指針その他の規範(A.3.3.2) | J.8.3 | 要配慮個人情報(A.3.4.2.3) |
| J.1.4 | 個人情報保護マネジメントシステムの適用範囲の決定(4.3) | J.8.4 | 個人情報を取得した場合の措置(A.3.4.2.4) |
| J.1.5 | 個人情報保護マネジメントシステム(4.4) | J.8.5 | J.8.4のうち本人から直接書面によって取得する場合の措置(A.3.4.2.5) |
| J.2 | リーダーシップ(表題) | J.8.6 | 利用に関する措置(A.3.4.2.6) |
| J.2.1 | リーダーシップ及びコミットメント(5.1) | J.8.7 | 本人に連絡又は接触する場合の措置(A.3.4.2.7) |
| J.2.2 | 個人情報保護方針(5.2.1、5.2.2、A.3.2.1、A.3.2.2) | J.8.8 | 個人データの提供に関する措置(A.3.4.2.8) |
| J.2.3.1 | 組織の役割、責任及び権限(5.3) | J.8.8.1 | 外国にある第三者への提供の制限(A.3.4.2.8.1) |
| J.2.3.2 | 個人情報保護管理者と個人情報保護監査責任者(A.3.3.4) | J.8.8.2 | 第三者提供に係る記録の作成など(A.3.4.2.8.2) |
| J.2.4 | 管理目的及び管理策(一般)(A.3.1.1) | J.8.8.3 | 第三者提供を受ける際の確認など(A.3.4.2.8.3) |
| J.3 | 計画(表題) | J.8.8.4 | 個人関連情報の第三者提供の制限など |
| J.3.1.1 | 個人情報の特定(A.3.3.1) | J.8.9 | 匿名加工情報(A.3.4.2.9) |
| J.3.1.2 | リスク及び機会に対処する活動(一般)(6.1.1) | J.8.10 | 仮名加工情報 |
| J.3.1.3 | 個人情報保護リスクアセスメント(6.1.2、A.3.3.3) | J.9 | 適正管理(表題) |
| J.3.1.4 | 個人情報保護リスク対応(6.1.3、A.3.3.3) | J.9.1 | 正確性の確保(A.3.4.3.1) |
| J.3.2 | 個人情報保護目的及びそれを達成するための計画策定(6.2) | J.9.2 | 安全管理措置(A.3.4.3.2) |
| J.3.3 | 計画策定(A.3.3.6) | J.9.3 | 従業者の監督(A.3.4.3.3) |
| J.4 | 支援(表題) | J.9.4 | 委託先の監督(A.3.4.3.4) |
| J.4.1 | 資源(7.1) | J.10 | 個人情報に関する本人の権利(表題) |
| J.4.2 | 力量(7.2) | J.10.1 | 個人情報に関する権利(A.3.4.4.1) |
| J.4.3 | 認識(7.3、A.3.4.5) | J.10.2 | 開示等の請求等に応じる手続(A.3.4.4.2) |
| J.4.4.1 | コミュニケーション(7.4) | J.10.3 | 保有個人データ又は第三者提供記録に関する事項の周知など(A.3.4.4.3) |
| J.4.4.2 | 緊急事態への準備(A.3.3.7) | J.10.4 | 保有個人データの利用目的の通知(A.3.4.4.4) |
| J.4.5.1 | 文書化した情報(一般)(7.5.1、A.3.5.1) | J.10.5 | 保有個人データ又は第三者提供記録の開示(A.3.4.4.5) |
| J.4.5.2 | 文書化した情報の管理(7.5.3) | J.10.6 | 保有個人データの訂正、追加又は削除(A.3.4.4.6) |
| J.4.5.3 | 文書化した情報(記録を除く)の管理(7.5.2、A.3.5.2) | J.10.7 | 保有個人データの利用又は提供の拒否権(A.3.4.4.7) |
| J.4.5.4 | 内部規程(A.3.3.5) | J.11 | 苦情及び相談への対応(表題) |
| J.4.5.5 | 文書化した情報のうち、記録の管理(A.3.5.3) | J.11.1 | 苦情及び相談への対応(A.3.6) |
| J.5 | 運用(表題) | ||
| J.5.1 | 運用(8.1、8.2、8.3、A.3.4.1) | ||
| J.6 | パフォーマンス評価(表題) | ||
| J.6.1 | 監視、測定、分析及び評価(9.1、A.3.7.1) | ||
| J.6.2 | 内部監査(9.2、A.3.7.2) | ||
| J.6.3 | マネジメントレビュー(9.3、A.3.7.3) | ||
| J.7 | 改善(表題) | ||
| J.7.1 | 不適合及び是正処置(10.1、A.3.8) | ||
| J.7.2 | 継続的改善(10.2) |
3. 構築・運用指針への対応準備
「構築・運用指針」の公表で、現行の個人情報保護マネジメントシステム(PMS)の基本的な取り組みが大きく変更されることはありませんが、以下のような対応が必要となります。
| <必須> | 1.「JISQ15001」本文の要求事項に対応するように文書を改訂し、運用する。 2.「令和2年 改正個人情報保護法」に対応するように文書を改訂し、運用する。 |
| <推奨> | 1.個人情報保護の基本規定を「構築・運用指針」の章立てに合わせて改訂する。 2.個人情報保護リスクアセスメントを「JISQ15001」本文の要求事項に対応するように見直しする。 |
4. テクノソフトの構築・運用指針への対応支援
テクノソフトでは「構築・運用指針」への対応支援を実施いたします。
下記の支援項目についてご希望内容をご確認いただき、お問合せください(表2)。
支援内容の詳細を決定し費用をお見積りいたします。
表2:「構築・運用指針」への対応支援項目
| 支援項目 | 支援内容 | 成果物/支援結果 | |
|---|---|---|---|
| A | 「構築・運用指針」の解説 | 「構築・運用指針」の内容についての解説 | 指針の理解 |
| B | PMS文書の改定 | 貴社担当者との打合せにて、PMS文書の改定をサポート | PMS文書 |
| C | 個人情報保護リスクアセスメント手順の見直しと実施結果のレビュー | 貴社担当者との打合せにて、個人情報保護リスクアセスメントの見直しをサポート | 個人情報保護リスクアセスメント文書と実施記録 |
| D | セキュリティ関連規定の改定 | 貴社担当者との打合せにて、セキュリティ関連規定の改定をサポート | セキュリティ関連規定 |
| E | 個人情報保護教育の支援 | 個人情報保護や貴社規定に関する教育資料の作成と教育実施のサポート | セキュリティ一般教育資料 |
| F | 内部監査員養成セミナー | 1日の訪問セミナーで実施し修了証を交付 | 内部監査員 |
| G | 申請書類の作成支援 | 申請書類作成の説明と準備のサポート | 申請書類 |
| H | 審査指摘への対応 | 貴社担当者との打合せにて、審査の指摘対応の検討と改善報告書作成のサポート | 改善報告書 |