Pマーク(プライバシーマーク)の規格改訂って何が変わるの?


YUKA150701038569_TP_V

いつもご愛読いただきありがとうございます。
ISO総合研究所 千葉です。

だんだん気温も上がり、春らしい様子が見られるようになってきましたね。
服装も軽装になり、色も明るいものが増え、気分も変わってきました。花粉症の人にはつらい季節ですが…頑張ってのりきりましょう!

さて、Pマーク(プライバシーマーク)は、2017年に新たな動きが始まりました。

今までPマーク(プライバシーマーク)の基準になっていた「JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)」が、2017年12月20日に、「JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)」が改訂されました!
Pマーク(プライバシーマーク)業界では11年ぶりの規格改訂となっています。

そもそも規格改訂とは?

しかし、巷では騒がれていますが、そもそも規格改訂とは何のことだろうと考えたことはありませんか?

そもそも、Pマーク(プライバシーマーク)を運営するに当たり、皆様の社内に「ルール」が作られていますね。
「個人情報保護マニュアル」「個人情報保護規程」「○○手順書」等、各企業によってその前は異なり、様々なルールが存在していると思います。

このルールを作るにあたり、ベースとなる規準が存在しています。
これが、「個人情報保護マネジメントシステム」つまり、「JIS Q 15001」にあたります。

しかし、情報セキュリティ等時代の変化が激しい昨今、この基準は何年も同じものを使い続けて自社とのギャップが生まれないでしょうか?基準そのものの見直しは必要ないでしょうか?

そう考えていくと、時代に合せてルールを作るための基準も変更していく必要がありますよね。
それが、「規格改訂」になります。

Pマーク(プライバシーマーク)の審査を受けていく中でも、2年前に言われたことと違う指摘が出てきた!なんてこともありますよね。
最近ではマイナンバーに関するルールや仕組みが必要になったのもその1つですね。
時代と共に法律が変わるように、Pマーク(プライバシーマーク)の規格も変化することになりました。

では、今回のPマーク(プライバシーマーク)規格改訂、どのような変化が出てきたのでしょうか。3つに絞ってお伝えします。

変化①:規格の「共通化」

まず大きい変化の1つ目としては、規格の「共通化」が上げられます。

最近では、Pマーク(プライバシーマーク)の他にISO27001(ISMS)を同時に取得している企業が増えています。
今まで、Pマーク(プライバシーマーク)は日本独自の規格となっており、世界に通用する規格であるISOとは共通の基準を作るのが難しい状況でした。

今回の規格改訂によって、ISO同様10章立ての構造となりました。
このことで、マニュアル類を統合しやすくなりました。

規格そのものを見てみると、用語も「JIS Q 27000:2014」から引用されている箇所が多く、ISO27001(ISMS)と連動しやすい状況が作られていることがわかります。
2つの規格を持っている企業にとっては、今までうまくいかなかった、マニュアル類の統合が非常にやりやすくなっています。

変化②:「附属書」の存在

そして、次に大きな変化として挙げられるのが「附属書」の存在です。

そもそも附属書ってなんだ?って思いますよね。

実は、これが旧規格である「JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)」を継承して策定されています。
もちろん、今の時代に合せた変更もされています。
ルール作りに大きく関わるのは附属書Aと附属書Cになります。

附属書Aは、今までPマーク(プライバシーマーク)で使ってきた規格要求事項を盛り込んでいます。
例えば個人情報の特定、緊急事態への準備、教育、内部監査など。見慣れた内容が記載されているのではないでしょうか。

しかし、2017年に行われた個人情報保護法の改正により、守るべきルールや使われる用語の変更が出ています。
例えば「要配慮個人情報」は、今回新たに決められた言葉です。以前の「機微な個人情報」と言えばわかりやすいでしょうか。

このように、Pマーク(プライバシーマーク)規格改訂により、最新の法令を反映した要求事項が作られています。
今まで利用してきたマニュアル類から変更する箇所ももちろん出てくるでしょう。

変化③:旧規格「3.4.3.2 安全管理措置」が独立

最後に3つ目として、附属書Cが変わりました。
旧規格「3.4.3.2 安全管理措置」を独立させた要求事項ととらえてください。

以前よりも、セキュリティに関する要求事項が増えています。114項目の要求事項を照合する必要があります。
もはやISMS(ISO27001)と変わらないセキュリティに関する要求事項が出来ましたね。

114項目と聞くと、もう見るのも嫌になってしまいそうですが、もちろん似たようなルールが存在しています。
要求事項を読み込み、自社にあったルールを作れば記入する量も減るかもしれませんね。

まとめ

こうやって見ると、規格改訂に対応したマニュアルの策定だけでも情報を仕入れて進めていく必要がありそうです。

Pマーク(プライバシーマーク)規格改訂の対応期間は2018年8月1日~2020年7月31日です。
対応するための準備期間は2年間ですね。審査機関の審査基準の公表も1月中旬に行われる予定です。

当社では、規格改訂に関する無料コンサルも行っています。何か気になることがありましたら、是非お気軽にお問合せください。

\ お問い合わせフォームはこちら /

WEBお問い合わせ


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス