Pマーク新規格の抑えるべき3つのポイント!!


いつもご愛読いただきましてありがとうございます。
ISO総合研究所コンサルタントの田口と申します。

今回のテーマは、「Pマーク新規格の抑えるべき3つのポイント!!」というテーマで書かせていただきます!

え!?Pマークの新規格ってどういうこと?と、思っているあなた!
実は、12月に規格改訂がされた JISQ15001:2017 が出ていたのです。
そんなPマーク規格改訂のポイントを3つ教えちゃいます。

ポイント1. どんな要求事項になってるの?
ポイント2. 今回からでてきた付属書とは?
ポイント3. 審査で気を付けることは?

ポイント1.どんな要求事項になってるの?

ISO27001またはISMSというものをご存知でしょうか?ご存知だと話が早いです。規格要求事項はISO27001と似たような形になったのです。
大枠で分けると、3つになります。

①大元の規格要求事項(個人情報の要求事項ではない)
ISO27001をないしはその他のISOの規格要求事項となりました。大項番の1~10で割り振られ、順番に言うと適用範囲、引用規格、用語及び定義、組織の状況、リーダーシップ、計画、支援、運用、パフォーマンス評価、改善となります。
詳細を書くと長くなるので、ここでは概要だけにしておきます。

②付属書Aと呼ばれるもので、今までの個人情報規格要求事項
これは今までのものと同じです。ポイント2のところで書かせていただきますね。

③付属書Cと呼ばれるもので、ISO27001の適用宣言書(付属書A)となり、安全管理に関する要求事項。
ISOの適用宣言書そのままで、詳細はポイント2で書かせていただきます。

この3つになります。
付属書BとDってあるの?と思われた方がいると思います。存在はしますが、これは付属書AとCの解説みたいなものとなるので、あまり関係ありません。
大枠としての規格要求事項はこのような形となりました。

ポイント2.今回からでてきた付属書とは?

大元の規格要求事項とは別の要求事項となります。
要は下位文書ですね。先ほども少し触れましたが、付属書にはA~Dがあります。基本的に自分たち、審査時に使用するものは付属書のAとCになります。
その二つ解説を簡単にします。

まずは付属書Aについて説明します。

基本は今までの個人情報の規格要求事項とほぼ内容は同じです。例えば3.3.1個人情報保護方針⇒A3.3.1個人情報保護方針という感じです。
ただいくつか変わっているところもあります。
例えば、直接書面という呼び名がなくなっている。第三者提供が3つに詳細が別れている。匿名加工情報(個人が特定されないデータのこと。アンケート集計結果等)が入った。などです。
ちなみに、個人情報保護法の改正に合わせて機微な情報が要配慮個人情報という名称に変わっています。個人情報保護法の改正で変わった名称は、そのまま変わっています。

次に付属書Cについて説明します。

これはISO27001の適用宣言書(付属書A)と同じです。少し抜粋してみます。

(1)C6.2.2テレワーキング
テレワーキングの場所でアクセス,処理及び保存される個人情報を保護するために,方針及びその方針を支援するセキュリティ対策を実施することが望ましい。
噛み砕くと、自分たちが決めたセキュリティエリア外での作業をおこなっているかどうか。これの管理策を決めてくださいということです。

(2)C.8.2.2情報のラベル付け
個人情報のラベル付けに関する適切な一連の手順は,組織が採用した個人情報分類体系に従って策定し,実施することが望ましい。
噛み砕くと、情報の分類(例えば、極秘・社外秘・公開)を決めたら、それに従った管理方法、触れる人を限定するなどの対策をしましょうということです。
ちなみに、赤いシール・青いシールなどをロッカーにも貼らなければいけないんじゃないかと、よく間違われますが、必ずしもそんなことはないので安心してください。

(3)C.18.1.5暗号化機能に対する規制
暗号化機能は,関連する全ての協定,法令及び規制を遵守して用いることが望ましい。
噛み砕くと、暗号化されたもの(ノートPC、USBでパスワード管理されたものを含む)を海外に持ち込んだり、輸出入する場合は、現地の法令等を守りましょう。ということです。
他の詳細も知りたいと思いますが、これも量が多いのでまた別の機会にします。

このように付属書というものが出来たので規格要求事項自体は増えたというべきでしょう。
やることは今までとはあまり変わらないですが、ルール策定を行わなければいけないので少々負担になってくるのかなと思います。

ポイント3.審査で気を付けることは?

皆さんが不安になっておられるのは、『どんなことをみられるのかな?審査で通るのかな? 』といったことだと思います。
現地審査での話をまとめてみます。

現地審査で見られるところは、大きく分けて2つで大元の要求事項と付属書Aです。
文書審査では、付属書Cも見られるのでルール策定はしっかりと行わないと不適合で返ってきます。

現地で見られるのは今まで変わりません。書類として、方針・マニュアル類、個人情報の台帳、リスク分析、特定された法令、委託先、教育、内部監査、代表者による見直しです。
その他には、同意書や誓約書、委託先の個人情報に関する契約書類などです。

新しい規格での審査開始は、今のところは6月頃からのようですが、まだ詳細は決定していないようです。
2018年1月中には発表されるとのことなので、当社からもお知らせしていきます。

仮に審査が6月から始まったとしても、審査員がまだ100%理解できている状態ではないと思います。
Pマークの審査だけをやっていて、ISOの審査経験がない審査員がほとんどです。
審査の方向性が決まっていなく、審査がしづらい状態であるため、良い審査を行うにはまだ時間がかかると思います。

最後に

いかがでしょうか?少しはイメージできましたか?

それでも他のものも良くわからないんだけど…というあなたは、ISO総研の運用代行サービスでまるっと解決!!!(笑)
半分冗談ですけれども、本当にわからない場合にはあなたの力になりますので、お気軽にお問い合わせ下さい。

それでは、またご愛読いただければ幸いです。

\ お問い合わせフォームはこちら /

WEBお問い合わせ


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス