Pマーク(プライバシーマーク)|JISQ15001:2017の改正、どうすればいいの?


ISO総合研究所の崎山です。

みなさん、ご存知の方もいらっしゃるかもしれませんが、2017年12月20日に一般財団法人日本規格協会よりPマーク(プライバシーマーク)の要求事項である【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】が発売が開始されました。

ただ、気になっているご担当者様も【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】について、何がどうなっていて、今後どうすればいいのかわからない。そういったご担当者様も少なからずいると思います。
そこで今回も、【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】について一緒に見ていきたいと思います。

まずは【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】の改訂によって、何がかわったのかを一緒に見ていきましょう。

改正点

主な改正点は次のとおりである。

3.1 規格票の構成の変更
今回の改正では,マネジメントシステムに関する要求事項を記載した本文と,管理策を記載した附属書
A(規定)とに分離した。さらに,附属書A の理解を助けるための参考情報を記載した附属書B(参考)及び附属書C(参考),並びにこの規格と旧規格との対応を示した附属書D の構成に変更した。

3.2 個人情報保護法の改正に伴い追加された要求事項
個人情報保護法の改正に伴い追加又は変更された要求事項は,次のとおりである。
a) “特定の機微な個人情報”を,“要配慮個人情報”に変更した。
b) 旧規格では“個人情報”としていた要求事項の一部を,個人情報保護法の規定に合わせて“個人データ”に変更した。
c) “開示対象個人情報”を“保有個人データ”に変更した。
d) 外国にある第三者への提供の制限を追加した。
e) 第三者提供に係る記録の作成などを追加した。
f) 第三者提供を受ける際の確認などを追加した。
g) 匿名加工情報を追加した。

【JISQ15001:2017(個人情報保護マネジメントシステム-要求事項)】より引用

これをみると「変更点」と「追加事項」があるのがわかります。

変更点

まず「変更点」としては、旧規格では、規格の構成として、要求事項が書かれている本文のみでした。

ただ、今回は大きく3つ「要求事項を記載した本文」「管理策を記載した付属書A(規定)」「この規格と旧規格との対応を示した付属書D」とに分離しているようです。

その他、付属書Aの参考情報として「付属書B(参考)」「付属書C(参考)」があります。

追加事項

次に7点の「追加事項」があります。

①『“特定の機微な個人情報”を,“要配慮個人情報”に変更した。』

例えば、今まで「健康診断書」が“特定の機微な個人情報”にあたるものだったのですが、“特定の機微な個人情報”の取扱いには同意書を取る必要がありました。
おそらくそういった同意書の文言を“要配慮個人情報”に変更する必要があるかもしれません。

②『旧規格では“個人情報”としていた要求事項の一部を,個人情報保護法の規定に合わせて“個人データ”に変更した。』

こちらは例えば、今まで旧規格では「3.4.2.8提供に関する措置」となっていた項番が「A 3.4.2.8 個人データの提供に関する措置」と個人データという文言が一部追記されているようです。

③『“開示対象個人情報”を“保有個人データ”に変更した。』

例えば、こちらも旧規格では、

「3.4.4.3 開示対象個人情報に関する事項の周知など」
「3.4.4.4 開示対象個人情報の利用目的の通知」
「3.4.4.5 開示対象個人情報の開示」
「3.4.4.6 開示対象個人情報の訂正、追加または削除」
「3.4.4.7 開示対象個人情報の利用又は提供の拒否権」

となっていたものが、以下のように“保有個人データ”という文言が変更になっております。

「A.3.4.4.3 保有個人データに関する事項の周知など」
「A.3.4.4.4 保有個人データの利用目的の通知」
「A.3.4.4.5 保有個人データの開示」
「A.3.4.4.6 保有個人データの訂正,追加又は削除」
「A.3.4.4.7 保有個人データの利用又は提供の拒否権」

④『外国にある第三者への提供の制限を追加した。』

上記について、旧規格にはなかったものですが、新規格にて管理策として追加されております。
追加項番として以下になります。

「A.3.4.2.8.1 外国にある第三者への提供の制限」
組織は,法令等の定めに基づき,外国にある第三者に個人データを提供する場合には,あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。ただし,A.3.4.2.3 のa)~d) のいずれかに該当する場合及びその他法令等によって除外事項が適用される場合には,本人の同意を得ることを要しない。

上記を見る限りでは例えば、派遣会社が外国にある派遣先の会社に派遣社員名簿等を提供する場合は、あらかじめ派遣社員より、同意書をもらったりしなければいけないようです。

④『第三者提供に係る記録の作成などを追加した。』

こちらは例えば、4点目でお話しました派遣会社が外国にある派遣先の会社に派遣社員名簿を提供した際に、提供したことを記録に残して保管しておくことが必要になったようです。

⑥『第三者提供を受ける際の確認などを追加した。』

こちらも4点目でお話した例をあげると、外国にある派遣先の会社が派遣会社から派遣社員名簿を提供してもらう際、派遣会社は派遣先の会社が派遣社員名簿を提供してもらったことを確認するための記録を作成し、保管しておかなければいけないようです。

⑦『匿名加工情報を追加した。』

こちらは下記項番が今回の新規格で追加されています。

「A.3.4.2.9 匿名加工情報*」
組織は,匿名加工情報の取扱いを行うか否かの方針を定めなければならない。
組織は,匿名加工情報を取り扱う場合には,本人の権利利益に配慮し,かつ,法令等の定めるところによって適切な取扱いを行う手順を確立し,かつ,維持しなければならない。

上記については例えば、通販等に関わる企業で個人情報に氏名、電話番号などにマスキングを施した情報を取り扱っている情報が匿名加工情報に当たると考えられます。

以上、簡単にではございましたが概要に変更点、追加点についてご案内いたしました。

最後に

これを読まれて、「正直、規格改訂するの大変だし、任せたい!!」とか「とりあえずすぐに相談に乗ってほしい!!」というPマークを運用中、あるいはこれから取得を検討中の企業様は一度当社ISO総合研究所にお問い合わせください!

皆様のご連絡を心よりお待ちしております!


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス