Pマーク(プライバシーマーク)の規格改訂スケジュールってどう組めばいいの?


Yuu171226IMGL0015_TP_V

いつもご愛読いただきありがとうございます。
ISO総合研究所コンサルタントの樋口です。

今回は、Pマーク(プライバシーマーク)の規格改訂にあたって最もお問い合わせの多い「Pマーク(プライバシーマーク)の規格改訂ケジュールってどう組めばいいの?」についてお話していこうと思います。

そもそも規格改訂とは?

※規格改訂の経緯や概要を把握している方は、この項を読み飛ばしてください。

Pマーク(プライバシーマーク)の審査基準である「個人情報保護マネジメントシステム 要求事項 JIS Q 15001」が、2006年度版から2017年度版にアップデートされました。

このアップデートの経緯としては、「個人情報保護法」が2017年5月30日に改正されたことにあります。
法律が変わったのだから、Pマークの審査基準も当然変えないとね!となったようです。

個人情報保護法改正に関する変更点・注意点などは下記を参照してください。

参考:ISO総研ブログ「個人情報保護法改正マスターしておくべきPマークガイドライン」
https://www.isosoken.com/pmark/?p=8317

「個人情報保護法の改正はわかった」と。でも「Pマークの規格改訂の概要は知らない!」と言う方は、下記のブログを参考にしてください。

参考:ISO総研ブログ「Pマーク規格改訂で何が変わったの?どこが変わったの?」
https://www.isosoken.com/pmark/?p=10001

規格改訂のスケジュール

Pマークの発行元である一般財団法人 日本情報経済社会推進協会(JIPDEC)のホームページにも「新審査基準への移行について(更新申請をされる付与事業者)」として移行スケジュールが記載されていますが、具体的な流れが書いておらず、何をしていいかがわからないですよね。
(参考:https://privacymark.jp/system/operation/jis_kaisei/update.html

よってこのコラムでは、Pマークの規格改訂について、具体的なスケジュールをステップ形式で解説していきたいと思います。

■初日
・「個人情報保護マネジメントシステム 要求事項 JIS Q 15001:2017」を購入する。
 下記、日本規格協会のホームページで、購入できます。
(参照:日本規格協会ホームページ https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=JIS%20Q%2015001:2017

・「JIS Q 15001:2017対応 個人情報保護マネジメントシステム導入・実践ガイドブック」を購入する。
 書店や、ネットショップで購入できます。(※注意 2006年版ではなく、2017年度版を購入してくださいね!)

■1~3ヶ月目
・「個人情報保護マネジメントシステム 要求事項 JIS Q 15001:2017」の附属書Aを見て、現在使用しているマニュアルのルールを当てはめる(パズルのように)
 例:3.3.1個人情報の特定(2006年度版) →A.3.3.1個人情報の特定 (2017年度版)
   3.4.5教育(2006年度版) → A.3.4.5 認識(2017年度版)
   3.8事業者の代表者による見直し(2006年度版) → A.3.7.3マネジメントレビュー(2017年度版)

自社のマニュアルが、「個人情報保護マネジメントシステム 要求事項 JIS Q 15001:2006」に記載されている規格項番順に並べられておらず、「第○条」という形で規定されている場合ですと、内容を確認しながらの並べ替え作業になるため、少々時間がかかるかもしれませんね。

■4~5ヶ月目
・2017年度版から、新しく追加された規格項番に対し、自社のルールを作成し、マニュアルに追加する。
(※自社のルールは、「JIS Q 15001:2017対応 個人情報保護マネジメントシステム導入・実践ガイドブック」を見ながら作成すると、スムーズに作成できると思います。)

・A.3.4.2.8.1外国にある第三者への提供の制限
・A.3.4.2.8.2第三者提供に係る記録の作成など
・A.3.4.2.8.3第三者提供を受ける際の確認など
・A.3.4.2.9 匿名加工情報

■6ヶ月目
・JIPDECホームページから、「新旧対照表(2018年7月20日掲載:83KB)」をダウンロードする
(参考: JIS改正に伴うプライバシーマーク審査基準の改正について https://privacymark.jp/system/operation/jis_kaisei/index.html
・「新旧対照表(2018年7月20日掲載:83KB)」を参照して、マニュアルを修正する

■7ヶ月目
・新しくできたマニュアルを精査し、社長にマニュアルの承認をもらう。

■8ヶ月目
・新しくできたマニュアルで運用を行ってみる。
 個人情報の洗い出し(A.3.3.1 個人情報の特定)
 教育・内部監査の計画を立てる(A.3.3.6 計画策定)

■9ヶ月目
・リスクアセスメントの実施(A.3.3.3 リスクアセスメント及びリスク対策)

■10ヶ月目
・委託先の評価(A.3.4.3.4 委託先の監督)
・教育の実施(A.3.4.5 認識)

■11ヶ月目
・内部監査の実施(A.3.7.2 内部監査)

■12ヶ月目
・マネジメントレビューの実施(A.3.7.3 マネジメントレビュー)

■13~14ヶ月目
・申請書類の作成
(参照:「JIS改正対応のQ&A」https://privacymark.jp/system/operation/jis_kaisei/faq.html

・審査機関に申請書を提出する(申請期限の8ヶ月前~4ヶ月前)
(参照:JIPDECホームページ「更新手続」https://privacymark.jp/p-application/update/update.html

■16~18ヶ月目
・文書審査の結果(マニュアルの修正指示)が送られてくるので、指示に従いマニュアルを修正していく
(「JIS Q 15001:2017対応 個人情報保護マネジメントシステム導入・実践ガイドブック」も利用しながら)

■19ヶ月目
・現地審査を受ける

■19~22ヶ月目
・現地審査で受けた「不適合」を改善していく

■20~24ヶ月目
・不適合改善が完了し、無事認証書が届く(更新完了です!お疲れ様でした!)

最後に

いかがでしたか?

申請期限まで時間がなく、自社でできない!
規格改訂、自社だけでできるのかな…?

と心配になったときは、下記よりお気軽にお問い合わせください。
即契約ではなく、まずは無料相談だけでも承っております。

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!

最後までお読みいただき、ありがとうございました。


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス