JIS Q 15001(プライバシーマーク) 2017年度版の要求事項が公開されました。
個人情報保護マネジメントシステムの改正手続きや、認証取得支援は当社のISOコンサルタントにお任せください! 審査に合格するよう全力でサポートいたします。
改正スケジュール
2017年度版改定の対応スケジュールについて、各事業者様ごとに対応方法が異なります。詳しくは当社コンサルタントにお問合せいただくか、以下のリンクからご覧ください。
①新審査基準への対応が未完了の事業者様
②新審査基準への対応が完了している事業者様
③新審査基準
2017年度版改正のポイント
JIS Q 15001(プライバシーマーク)2017年度版の主な変更ポイントについては以下の3つです。
当社のコンサルタントがポイントを解説していますので、以下のリンクからご覧ください。
JIS Q 15001(プライバシーマーク):2017 2006年版からの変更JIS Q 15001(プライバシーマーク) 改訂2017年度版の要求事項
全体の構成を、ISO/IEC専門業務用指針の付属書SLの構造に合わせています。
- JIS Q 15001(プライバシーマーク):2017の構成
- 本文
附属書A(規定)管理目的及び管理策
附属審B(参考)管理策に関する補足
附属書C(参考)安全管理措置に関する管理目的及び管理策
附属書D(参考)新旧対応表
- JIS Q 15001(プライバシーマーク):2006の構成
- 本文
解説
〔参考〕
JIS Q 15001(プライバシーマーク):2017とJISQ27001:2014の本文の目次はほぼ同じになっています。
用語を改正後の個人情報保護法に合わせてあります。
- 個人情報の定義に“生存している”ことが追加された。
- 機微情報を、個人情報保護法にあわせて要配慮個人情報に修正した。
- 2006年版では、個人情報と開示対象個人情報の表現を用いていたが、2017年版では、個人情報、個人データ、保有個人データに変更された。
直接書面取得と、直接書面外取得との表現を変更した。
- JIS Q 15001(プライバシーマーク):2017
- A.3.4.2.4取得全般に関する措置
A.3.4.2.5直接書面取得に関する措置
- JIS Q 15001(プライバシーマーク):2006
- 3.4.2.4直接書面取得に関する措置
3.4.2.5直接書面以外の取得に関する措置
「個人情報保護法」に追加された以下の項目を追加した。
- 外国にある第三者への提供の制限(第24条) ⇒ A.3.4.2.8.1
- 第三者提供に係る記録の作成等(第25条) ⇒ A.3.4.2.8.2
- 第三者提供を受ける際の確認等(第26条) ⇒ A.3.4.2.8.3
- 匿名加工情報(第36条~第38条) ⇒ A.3.4.2.9
「事業者の代表者による見直し」の位置付けが“A.3.7 パフォーマンス評価”(点検)の一部とされた。
- JIS Q 15001(プライバシーマーク):2017
- A.3.7.3マネジメントレビュー
- JIS Q 15001(プライバシーマーク):2006
- 3.9事業者の代表者による見直し
用語の変更
用語を個人情報保護法に合わせたと同時に、一部分かりやすい表現に修正した部分があります。
例
- JIS Q 15001(プライバシーマーク):2017
- A.3.4.2.7本人に連絡又は接触する場合の措置
- JIS Q 15001(プライバシーマーク):2006
- 3.4.2.7本人にアクセスする場合の措置
他にも変更になった点はありますが、本文及び付属書Aの説明の中で記述します。
JIS Q 15001(プライバシーマーク):2017目次JIS Q 15001(プライバシーマーク) 改訂2017年度版の要求事項
0 序文
- 0.1概要
- 0.2 他のマネジメントシステム規格との近接性
1 遺用範囲
2 引用規格
3 用語及び定義
4 組織の状況
- 4.1 組織及びその状況の理解
- 4.2 利害関係者のニーズ及び期待の理解
- 4.3 個人情報保護マネジメントシステムの適用範囲の決定
- 4.4 個人情報保護マネジメントシステム
5 リーダーシップ
- 5.1 リーダーシップ及びコミットメント
- 5.2 方針
- 5.3 組織の役割,責任及び権限
6 計画
7 支援
8 運用
- 8.1 運用の計画及び管理
- 8.2 個人情報保護リスクアセスメント
- 8.3 個人情報保護リスク対応
9 パフォーマンス評価
- 9.1 監視,測定,分析及び評価
- 9.2 内部監査
- 9.3 マネジメントレュー
10 改善
- 附属書A(規定)管理目的及び管理策
- 附属審B(参考)管理策に関する補足
- 附属書C(参考)安全管理措置に関する管理目的及び管理策
- 附属書D(参考)新旧対応表
- 参考文献
- 解 説
1 適用範囲JIS Q 15001(プライバシーマーク) 改訂2017年度版の要求事項
適用範囲について記載しています。
内容は単純で付属書Aで該当する部分はありません。
しかし、2006年版のガイドラインを参考に、以下の項目を定めておいた方が安全と考えられます。
適用範囲で定める必要のあることは2項目あります。
全従業者を適用対象とすること。
「事業の用に供している」個人情報を対象とすること。
表現はそのままでなくてもよく、その趣旨が読み取れれば良いと考えられます。
しかし、適用対象が限定的と読み取れることが無いようにする必要があります。
なお、従業者の情報は「事業の用に供している個人情報」と判断されています。
なお、従業者に関しては本文3.42に定義がありますので、この定義を利用すべきと考えられます。1999年版、2006年版をもとにした規程文書では、従業員と記載しり、社員と記載することで、範囲が不明確になっている例がかなりあります。
2 引用規格JIS Q 15001(プライバシーマーク) 改訂2017年度版の要求事項
規格には“この企画が引用する企画はない。”と記載してあります。
規程文書を作成する場合には、JIS Q 15001(プライバシーマーク):2017を引用規格と記載することになります。
3 用語及び定義JIS Q 15001(プライバシーマーク) 改訂2017年度版の要求事項
“3.1 組織”から“3.46 リスク所有者”まで定義がありますが、他のマネジメントシステム規格(例えばISO27001)に合わせているため、JIS Q 15001(プライバシーマーク)では、一度も利用されていない用語もあると報告されています。
- 3.23 基本測定量
- 3.27 導出測定量
- 3.31 測定の関数 など
規程を定める場合には、規格に定められているうち必要なものを選択して記載すればよいと考えられます。
なお、次の用語の定義は記載しておくことをお勧めします。
- 3.18
不適合
- 本文10.1 不適合及び是正処置(A.3.8是正処置)にて是正処置の範囲を明確にし、必要な範囲以上に是正措置の工数を取らないためです。
- 従業者
- 従業者は、適用範囲及びA.3.4.3.3やA.3.4.5において範囲を明確にするためです。
4.組織の状況JIS Q 15001(プライバシーマーク) 改訂2017年度版の要求事項
- 4.1 組織及びその状況の理解
- 4.2 利害関係者のニーズ及び期待の理解
- 4.3 個人情報保護マネジメントシステムの適用範囲の決定
- 4.4 個人情報保護マネジメントシステム
これらの内容は、個人情報の保護を行う上で事前に検討すべき項目と考えられます。
したがって、これらの内容は規定することでもいいですし、上記の内容を、必要な人間に伝える手順を考えることでも良いと考えられます。手順としては、例えば、現在でもプライバシーマークの付与適格決定を受けている事業者は「当社の個人情報の取り扱いについて」等をウェブサイトで公開しています。
また、規定には4.1~4.3を行った上で、4.4を行っていくこと、マネジメントレビュー(本文9.3)などで継続的に見直すこと、各内容における承認手段を定めること、関連する法令を纏めておくことを記載しておけば良いと考えられます。
“A.3.1.1 一般” ⇒ 承認の手順
“個人情報保護方針(A3.2)から是正処置(A3.8)は、トップマネジメントによって権限を与えられた者によって、組織が定めた手段に従って承認されなければならない。”と定めれています。
審査基準では“A.3.2からA.3.8の管理策について,定めた手段に従って承認していること。又は,承認のために定めた手段が説明できること。”となっていますが、承認手順・承認者をどの様に定めるかは、具体的に記載していません。
“A.3.2からA.3.8の管理策毎に個別の手段を設けることを求めるものではない。個別の手段を設けるか否かは,事業者毎の判断による。”とも記載していることから、まとめて定めても、管理策毎に定めても良いとのことですから、組織内で分かりやすい方法でよいと考えられます。
2006年版では、承認に用いる様式を定めていることが要求されておりましたが、JIS Q 15001(プライバシーマーク)の2017年版は明確ではありません。
安全策としては、定めておいた方がよさそうです。
規格では、“4.1 組織及びその状況の理解”の一部として “A.3.3.2 法令、国が定める指針その他の規範”に関連する法令、ガイドラインに纏めておくことを求めています。
- すべての事業者に求められてる法令やガイドラインは以下の通りです。また事業の内容や、所属する業界として必要な法令等も特定し、内容を確認しておくことが重要です。
- 個人情報保護法
- 個人情報保護法に関して個人情報委員会の指定するガイドライン
- 番号法
- 番号法に関して個人情報委員会の指定するガイドライン
また、“4.3 個人情報保護マネジメントシステムの適用範囲の決定”として、“A.3.3.1 個人情報の特定”を行うように求めていますが、運用の流れとして、“本文6.計画”の一部としてまとめた方が良いと考えられます。
本資料も、計画の一部と記載します。
5.リーダーシップJIS Q 15001(プライバシーマーク) 改訂2017年度版の要求事項
5.1 リーダーシップ及びコミットメント
(A.3.3.4 資源、役割,責任及び権限)
JIS Q 15001(プライバシーマーク)改正の本文5.1は、トップマネジメントの役割を定めています。
付属書AではA3.3.4に記載しておりますので、規定として纏めるときには“トップマネジメントの役割、責任及び権限”として、個人情報保護管理者等の役割などと合わせて記載する方が分かりやすいとも考えられます。
注意しなければならないのは、用語の定義(本文3.)の3.5.にトップマネジメントとは“最高位で組織(3.1)を指揮し、管理する個人又は人々の集まり”となっていることです。
JIS Q 15001(プライバシーマーク)の2006年までは、リスク分析結果であるリスク対策や、是正処置が必要とする不適合の責任は代表者(又は代表者としての権限を委任されている者)の承認が必要とされてきました。
2017年版からは承認手順は、本文4..(組織の状況)に記載したとおり、承認者をあらかじめ具体的に定めておくことになります。
5.2 方針(A.3.2 個人情報保護方針)
今回の改正で個人情報保護方針に対しては、内部向けと外部向けを制定するように求められています。
5.2.1 内部向け個人情報保護方針(A.3.2.1 内部向け個人情報保護方針)
内部向け個人情報保護方針は、A3.2.1で具体的に、項目a)~f)を方針に含めること、組織内への伝達および利害関係者が入手可能な措置を講じることを求めています。
しかし、A3.2.1の内容だけでは本文5.2.1で記載を求めているa)、b)が不足していますので、実際に作成する場合には、前書きとしてa)、b)を記載する必要と思われます。
審査基準では、“トップマネージメントは、個人情報保護目的を説明できること”とありますので、記載していなくても審査時に口頭で説明できれば良いとも考えられますが、本文5.2.1の表現はa)、b)を含めることを求めておりますので、記載して方がよいと考えられます。
〔参考〕
JIS Q 15001(プライバシーマーク)の2006年版向けのガイドラインに個人情報保護方針には“個人情報保護に取り組む姿勢や考え方を、事業の内容と絡めて記述していること。”と記載されています。
5.2.2 外部向け個人情報保護方針(A.3.2.2 外部向け個人情報保護方針)
JIS Q 15001(プライバシーマーク)の2017年度版で新しく追加された外部向け個人情報保護方針に関しては、本文5.2.2とA3.2.2では多少イメージが異なります。
A3.2.2では内部向けの個人情報保護方針に、以下の2項目を加えること求めています。
- a) 制定年月日及び最終改訂年月日
- b)外部向け個人情報保護方針の内容についての問合せ先
したがって、外部向け個人情報保護方針の本体は内部向けと同じで、上記の2項目が追加になっていればよいわけですから、内部向け、外部向けを別々に作成せずに、全てを含んだ個人情報保護方針を作成しておいた方がよいと考えられます。特に内部向けとしても、改訂される可能性がある文章に日付のないことは組織内で違和感があるのではないでしょうか。
内部向け個人情報保護方針の要求事項に必要に応じて“利害関係者が入手可能”することが要求されています。利害関係者は組織外にもいるわけですから、会社案内に記載することはウェブサイトで公表することなどが考えられます。
これらから、結果として運用上は一つの方針になると考えられます。
なお本文5.2.2の内容の方が柔軟性があり、今後に期待できます。
5.3 組織の役割,責任及び権限
(A.3.3.4 資源,役割,責任及び権限)
個人情報保護マネジメントシステムを運営してくために必要な役割に対して責任及び権限を定める必要があります。
また、定めた内容は組織内及び利害関係者に伝える必要があります。
組織内には“本文7.2及び7.3”に含まれる“A.3.4.5
教育”にて行うことが可能ですが、利害関係者は各組織で異なりますから個別に方策を考える必要があります。
今回の2017年度版改正で最低限定めておく役割は以下の通りです。
- 個人情報保護管理者
- 個人情報保護管理責任者
- 教育担当者、教育責任者
- 外部との窓口(問合せ、苦情、相談、開示等の請求への担当者)
- 情報システム担当者
- 情報システム担当者に関して明確に企画などでは求められていませんが、
審査の申請様式に記載欄があるため、決めておいた方が賢明と考えられます。
- 情報システム担当者に関して明確に企画などでは求められていませんが、
また、特定個人情報の取扱いについて個別の規程を作成していない場合には、特定個人情報の事務取扱担当者(複数の場合は事務取扱責任者)も定めておく必要があります。
6.計画JIS Q 15001(プライバシーマーク) 改訂2017年度版の要求事項
6.1 リスク及び機会に対処する活動
6.1.1 一般
ここで求められていることは“本文4.”で検討した結果で、運用していくことを明確にすることです。
“A.3.3.5 内部規程”で求められているa)~o)の規程を定めていることが分かる様にすればよいと考えられます。
6.1.2 個人情報保護リスクアセスメント
6.1.3 個人情報保護リスク対応
- ここでは、取り扱う個人情報を特定し、リスク分析を行う手順を定めることを求められています。
- 注意点としては、2017年版のJIS規格には個人情報の定義はなく、「個人情報保護法」第2条の定義をそのまま適用していることです。また、「個人情報の保護に関する法律についてのガイドライン(通則編)」2(定義)の定義も参考になります。
- また、個人データと個人情報を使い分けているため、注意が必要です。
A.3.3.1 個人情報の特定
- 個人情報の特定し、台帳管理すべきことを定めています。JIS Q 15001(プライバシーマーク)の2017年版では、2006年版の解説にあった台帳で管理すべき項目が、明記されたことです。これらの内、“保管方法”は2006年版の解説にも含まれていますが、漏れている場合が多いため注意が必要です。また、2006年版では利用期限だけでしたが、JIS Q 15001(プライバシーマーク)の2017年版では利用期限と保管期間が別々に記載されましたので、取扱いに注意が必要です。
- 特定した内容をリスク分析に繋げるためには、個人情報ではなくて個人情報を記載または保管している媒体を特定する様にした方が良いと考えられます。
A.3.3.3 リスクアセスメント及びリスク対策
- JIS規格の説明会では、“特定した個人情報が含まれる媒体の取得・入力、移送送信、利用・加工、保管・バックアップ、消去・廃棄に至る一連の流れの各局面において、適正な保護措置を講じない場合に想定されるリスクを洗い出す。”ことを行うことと説明しています。
- あわせて、“個人情報保護リスクを分析するとは洗い出したリスクを、その「起こりやすさ」と「起きた場合の影響の大きさ」から定量的・定性的に評価することをいう。”と説明しています。
一言でいえば、リスクがもたらす影響の大きさ(脅威)と起きやすさ(脆弱性)を数値化することで、リスクの大きさを予測し、それに合わせて対策をとることを求めています。 - しかし、公表されている審査基準では、“特定の手法による手順を求めるものではない。例えば,数値評価によるリスクの把握は手法の一つであるが,これを必須とするものではない。”と記載しておりますので、プライバシーマークの審査時には数値化は求められないことになり、JIS Q 15001(プライバシーマーク)の2006年版で行われていたリスク分析でよいと考えられます。
- 2006年版で用いられているリスク分析の手法は、以下の2方法があります。
- ① 個人情報毎にライフサイクルの各局面で想定リスクを洗い出し、対策を検討する。
- ② 業務フローに沿って使われている個人情報と想定リスクを洗い出し、対策を検討する。
- 規格をそのまま解釈すれば①になりますが、情報の媒体が追加になる場合の想定リスクが十分に表せない可能性があります。例えば、本人から紙媒体で取得した個人情報をPCに入力する場合などの想定リスクは、紙媒体側と考えるかPCのデータ側で検討するのか、分かり難いところがあります。
- ②の場合は、業務全体の流れの中で想定リスクを検討しますので、情報媒体の追加や変化時の想定リスクは漏れにくくなりますが、業務フローの途中で、利用されなくなった媒体の廃棄時などの想定リスクが漏れやすいことがあります。
- リスク分析を行う場合には、対象になる個人情報及びその媒体が、組織内で発生する場面(取得、入力)と消滅する場合(消去・廃棄・提供)が必ずあるかを確認することをお勧めします。
例えば、業務フローで入力の局面があるのに、消去が無ければ入力された
データは組織内のどこかにずっと保管されていることになります。
- 個人情報毎にリスク分析を行う場合に利用する様式は以下のようになります。
6.2 個人情報保護目的及びそれを達成するための計画策定
本文6.2と“A.3.3.6 計画策定”では多少内容が異なりますが、審査基準に基づいて規定を定めることで、差異を埋めることができます。
“A.3.3.6 計画策定”の審査基準
- ① 個人情報保護マネジメントシステムを確実に実施するために,少なく
とも年一回,次の事項を含めて,必要な計画を立案し,文書化して
いること。- a)教育実施計画
- b)内部監査実施計画
- ② 個人情報保護マネジメントシステムを確実に実施するために必要な計画に,次の事項を含んでいること。
- a)実施事項
- b)必要な資源
- c)貴任者
- d)達成期限
- e)結果の評価方法
7.支援JIS Q 15001(プライバシーマーク) 改訂2017年度版の要求事項
今回の改正の“7 支援”には以下の5項目があります。 次ページ以降で内容を説明します。
- 7.1資源
- 7.2 力量
- 7.3 認識
- 7.4 コミュニケーション
- 7.5 文書化した情報
7.1 資源
個人情報保護マネジメントシステムを運用するための資源を準備することを定めることを求めています。この内容は、“5.3 組織の役割,責任及び権限”に各役割の担当者が決定していれば良く、体制図などで具体的な担当者を纏めておけばよいと考えられます。
7.2 力量、7.3 認識
この2項目では、 “5.3 組織の役割,責任及び権限” 及び“7.1 資源”で定めた担当者やその他の従業者がその立場に応じて知識と能力を持つための対策を行うこと求めています。
対応する“A.3.4.5 認識”では、従業者に以下の内容を年1回以上教育を行うこと求めています。
- a)個人情報保護方針(内部向け個人情報保護方針及び外部向け個人情報
保護方針) - b)個人情報保護マネジメントシステムに適合することの重要性及び利点
- c)個人情報保護マネジメントシステムに適合するための役割及び責任
- d)個人情報保護マネジメントシステムに違反した際に予想される結果
2006年版JIS Q 15001(プライバシーマーク)に比較して、今回の改正版では“a)個人情報保護方針(内部向け個人情報保護方針及び外部向け個人情報保護方針”が追加になっていることに注意が必要です。
7.4 コミュニケーション
個人情報保護マネジメントシステムに関連する内部及び外部とのコミュニケーションを行うことを求めています。
運用上、内外部とのコミュニケーションが必要な場合として“緊急事態の対応”、“取得した個人情報の利用目的の公表”、“開示等の求めなどに対する対応”、“苦情、相談等への対応”等が想定されます。
また、外部向け個人情報保護方針もその一環と考えらます。
これらのうち、“緊急事態の対応”を除いては他の項目にて定められることになっていますので、ここでは“A.3.3.7 緊急事態への準備”を定めればよいと考えられます。
“A.3.3.7 緊急事態への準備”では以下の内容を定めることが要求されています。
- a)漏えい,滅失又はき損が発生した個人情報の内容を本人に速やかに通知するか,又は本人が容易に知り得る状態に置くこと。
- b)二次被害の防止,類似事案の発生回避などの観点から,可能な限り事実関係,発生原因及び対応策を,遅滞なく公表すること。
- c)事実関係,発生原因及び対応策を関係機関に直ちに報告すること。
7.5 文書化した情報
7.5.1 一般
“組織の個人情報保護マネジメントシステムは,次の事項を含まなければならない。”と定めています。
具体的に含むべき内容は、“A.3.5.1 文書化した情報の範囲”に定めています。
- a)内部向け個人情報保護方針
- b)外部向け個人情報保護方針
- c)内部規程
- d)内部規程に定める手順上で使用する様式
- e)計画書
- f)この規格が要求する記録及び組織が個人情報保護マネジメントシステムを実施する上で必要と判断した記録
JIS Q 15001(プライバシーマーク)の運用上、d)~f)の区別が分かり難いですが、規定文ではこの内容をそのまま記載しておくことでよいと考えられます。
7.5.2 作成及び更新、7.5.3 文書化した情報の管理
JIS Q 15001(プライバシーマーク)の改正版では文書化した情報を作成及び更新する場合に必要な手続きに関して定めることを
要求しています。
具体的な内容は “A.3.5.2文書化した情報(記録を除く。)の管理”に規程文書に関して、“A.3.5.3 文書化した情報のうち記録の管理”に記録に関して定めています。
JIS Q 15001(プライバシーマーク)の改正版では“A.3.5.2文書化した情報(記録を除く。)の管理”では以下の内容を求めてます。
- a)文書化した情報(記録を除く。)の発行及び改正に関すること
- b)文書化した情報(記録を除く。)の改正の内容と版数との関連付けを明確にすること
- c)必要な文書化した情報(記録を除く。)が必要なときに容易に参照できること
運用時にはb)項は、改正の理由と混同してしないことが大切です。
改正の内容を記録しておく意味を理解しておくことが重要です。
“A.3.5.3 文書化した情報のうち記録の管理”に以下の事項を含む記録を作成し、かつ維持しなければならないと定めています。
- a) 個人情報の特定に関する記録
- b) 法令、国が定める指針及びその他の規範の特定に関する記録
- c) 個人情報保護リスクの認識、分析及び対策に関する記録
- d) 計画書
- e) 利用目的の特定に関する記録
- f) 保有個人データに関する開示等(利用目的の通知、開示、内容の訂正、
追加又は削除、利用の停止又は消去、第三者提供の停止)の請求等へ
の対応記録 - g) 教育などの実施記録h)苦情及び相談への対応記録
- i) 運用の確認の記録
- j) 内部監査報告書
- k) 是正処置の記録
- I) マネジメントレビューの記録
8.運用JIS Q 15001(プライバシーマーク) 改訂2017年度版の要求事項
ここからJIS Q 15001(プライバシーマーク)改正版の具体的な運用方法の説明になります。
“6.1.1 一般”で述べた規程に基づいて運用していることが必要です。
関連する“A.3.4.1運用手順”では、“組織は,個人情報保護マネジメントシステムを確実に実施するために,運用の手順を明確にしなければならない。”ことを定めて、次項以降に、具体的にその内容を定めています。
“8 運用”は、“8.1 運用の確認”、“8.2 個人情報保護リスクアセスメント”、“8.3 個人情報保護リスク対応”に分けて記載していますが、付属Aではより具体的にA.3.4.2~A3.4.4、A3.6に定めています。
なお、上記から漏れているA3.4.5は本文7.2、7.3で、またA.3.5は本文7.5.3において紹介した内容になります。
次ページ以降に付属書Aの項番にそって説明していきます。
8 運用(A.3.4.2 取得,利用及び提供に関する原則)
A.3.4.2.1 利用目的の特定
以下の3点を定めておくことが必要です。
- 個人情報の利用目的をできる限り特定し,その目的の達成に必要な範囲内において取扱いを行っていること。
- 利用目的は,取得した情報の利用及び提供によって本人の受ける影響を予測できるように,利用及び提供の範囲を可能な限り具体的に明らかにしていること。
- 新規の個人情報を取得する場合に、利用目的を特定する方法を明確にしておくこと。
A.3.4.2.2 適正な取得
以下の2点を定めておくことが必要です。
- 定めた手順に従って,個人情報を適正に取得していること。
- 本人以外から個人情報を取得する場合(受託による取得を含む)、提供元又は委託元が個人情報を適正に取り扱っていることを確認すること。
(注意:2番目の内容では、JISの要求事項や審査基準では求められて
いませんが2006年版JISの審査基準に含まれていました。重要な
内容ですので、定めておくことをお勧めします。)
8 運用(A.3.4.2.3 要配慮個人情報)
2006年版JIS Q 15001(プライバシーマーク)にて“機微情報”として定められていた情報です。改正「個人情報保護法」に要配慮個人情報として、追加にされため、2017年版JIS Q 15001(プライバシーマーク)では、名称が変更になっています。
要配慮情報の定義はJIS規格や審査基準には定められていませんので、個人情報保護法の定義がそのまま適用されます。
第2条(定義)第3項
- “この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。”
一言で言えば、差別の原因になり得る個人情報です。
要配慮情報の取得や利用する場合等にはあらかじめ書面による本人の同意が必要です。なお、ただし書きにて同意を得ることが困難な場合や業務に支障が出る場合には、同意を得なくても良いことになっています。
なお、受託などで要配慮個人情報を預かる場合は同意が取れませんが、2006年版JIS Q 15001(プライバシーマーク)のガイドラインにある“受託による取得も適用除外と考えてよい。”(受託で取得する場合もただし書きの一部である。)がそのまま適用されると予測しています。
8 運用(A.3.4.2.4 個人情報を取得した場合の措置)
“個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。”ことをJIS Q 15001(プライバシーマーク)改正版では定めています。
なお、上記の通知や公表を行わなくてよい場合をただし書きとして纏めています。
この項目を規定で定める場合には、審査基準では求めていませんが、具体的な公表方法も定めておく方が良いと考えられます。
この内容は、「個人情報保護法」第18条と同じです。
〔注意〕
2006年版JIS Q 15001(プライバシーマーク)では、直接書面よる取得をよる措置3.4.2.4に、それ以外を3.4.2.5に定めており、いわば別々の種類の個人情報の様になっていましたが、今回は個人情報の取得する全体を3.4.2.4に定め、 そのうちで直接書面外による取得場合の措置を3.4.2.5に定めています。
これは、個人情報保護法では、直接書面に取得の場合でも本人から同意を得ることは求めていないため、第18条の内容を3.4.2.4に定めて、その一部として直接書面による取得を3.4.2.5として追加したものと考えています。
8 運用(A.3.4.2.5 A.3.4.2.4のうち本人から直接書面によって取得する場合の措置)
直接書面によって個人情報を取得する場合には、予めJIS Q 15001(プライバシーマーク)が求めるa)~h)の事項またはそれと同等以上の内容の事項を本人に明示し、書面で同意を得ることが必要になります。
直接書面で取得する場合に、紙媒体で受け取る以外に、ウェブサイトなどから取得する場合も含まれることはよく知られていますが、履歴書データを保管したCD-R等を受け取る場合も含まれます。
また、同意を得なくても良い場合をただし書きとして定めています。
〔注意〕
O2006年版JIS Q 15001(プライバシーマーク)では、直接書面で取得する場合のただし書きは、9項目ありましたが、2017年版では5項目になっていますので注意が必要です。
例えば、2006年版JIS Q 15001(プライバシーマーク)では3.4.2.6(利用に関する措置)のただし書きが適用されることになっていましたが、2017年版JIS Q 15001(プライバシーマーク)ではなくなっています。
個人的にはA.3.4.2.にある適用するただし書きの記載A.3.4.2.4のa)~d)は、A.3.4.2.3のa)~d)の間違いではないかと思っていますが、3月15日に公表された正誤表に記載がありませんので今後の様子を見たいと考えられます。
現在の規格では、法令によって取得する場合でも、書面での同意が必要になることになりますが、あまり現実的ではないと考えられます。
8 運用(A.3.4.2.6 利用に関する措置)
この項目では“特定した利用目的の達成に必要な範囲内で個人情報を利用しなければならない。”ことを定めています。
また、特定した利用目的の達成に必要な範囲を超えて個人情報を利用する場合は,あらかじめ,少なくとも、直接書面での取得時(A.3.4.2.5)の明示項の内a)~f)(以後A.3.4.2.5のa)~f)と記す。)又はそれと同等以上の内容の事項を本人に通知し,本人の同意を得なければなりません。
ただし,要配慮個人情報の取得時に同意を得なくてもよいとしたただし書きの内のa)~d)(以後A3.4.2.3のただし書きa)~d)と記す。)のいずれかに該当する場合には,本人の同意を得なくてもよいことになっています。
〔参考〕
発売直後のJIS Q 15001(プライバシーマーク):2017では、A3.4.2.6にただし書きは“A.3.4.2.4のただし書きa)~d)のいずれかに該当する場合”と記載されていますが2018年3月15日に正誤表が公表され、“A.3.4.2.3のただし書きa)~d)に該当する場合”に修正されています。
2006年版JIS Q 15001(プライバシーマーク)では、ガイドラインによれば、望ましくはないが同意は口頭でもよいことになっていますが、2017年版向け審査基準では、確認方法に本人の同意書面があげられているころから、口頭での同意は難しくなったようです。2017年版JIS Q 15001(プライバシーマーク)に対するガイドラインの発行が待たれます。
8 運用(A.3.4.2.7 本人に連絡又は接触する場合の措置)
既に取得済みの個人情報を利用して本人に連絡や接触する場合について定めています。
本人から個人情報を取得する場合に、連絡することに対して同意を得ている場合は問題がありませんが、事前に同意を得ていない場合や本人以外から取得した個人情報を利用して本人に連絡等をする場合には、A.3.4.2.5のa)~f)と個人情報の取得方法を通知して同意を得ることが必要です。
ただし、A.3.4.27のただし書きのa)~f)に該当する場合は同意は不要となります。
〔参考〕
この項目の目的は不要なダイレクトメールや迷惑メールの阻止にあると考えられます。従ってこの項目が適用される事業者は少ないように考えられます。
A.3.4.2.6と同じ様に、2006年版JIS Q 15001(プライバシーマーク)では口頭での同意が認められていましたが、2017年版JIS Q 15001(プライバシーマーク)では書面が必要なようです。
8 運用(A.3.4.2.8 個人データの提供に関する措置)
個人情報をデータベース化した「個人データ」を、第三者に提供する場合の手続きに関して定めています。
しかし、個人情報を単体で、事業によっては個人情報を単体で第三者に提供することがありますので、個人情報に対しても同じ取り扱いをすることをお勧めします。
本人から個人情報を取得する場合に、第三者提供に対して同意を得ている場合は問題がありませんが、事前に同意を得ていない場合や本人以外から取得した個人情報を第三者提供する場合には、A.3.4.2.5のa)~d)と個人情報の取得方法を通知して同意を得ることが必要です。
ただし、A.3.4.2.8のただし書きのa)~g)に該当する場合は同意は不要となります。
〔参考〕
この項目で特に問題になるのは、名簿などの作成に用いられるため、多量に提供される個人情報と考えられます。
このため、個人情報保護法の改正を受け以下の3点がJIS Q 15001(プライバシーマーク)に追加されました。
- ≫ A.3.4.2.8.1 外国にある第三者への提供の制限
- ≫ A.3.4.2.8.2 第三者提供に係る記録の作成など
- ≫ A.3.4.2.8.3 第三者提供を受ける際の確認など
次ページ以降に、これらの事項に関して記載します。
A.3.4.2.8.1 外国にある第三者への提供の制限
「個人情報保護法」第24条に基づき、外国にある第三者に個人データを提供する場合には,あらかじめ外国にある第三者への提供を認める旨の本人の同意を得る必要があります。
なお、A3.4.2.3のただし書きa)~d)する場合には、同意は不要です。
実際に、個人情報を第三者に提供する場合は、取得時か第三者提供時に、提供先の種類、及び属性を連絡していることになりますから、提供先が外国であればその時点でその旨は本人に伝わっていることになります。
しかし、(国内の)第三者提供と外国にある第三者提供では同意を不要とする範囲が異なりますので、注意が必要です。
〔参考〕
EU圏と個人データの交換をするときには、2018年5月25日からGDPRに関しても注意を払うことが必要になります。
A.3.4.2.8.2 第三者提供に係る記録の作成など
「個人情報保護法」第25条に基づき、個人データを第三者に提供したときは,法令等の定めるところによって記録を作成し、保管しなければなりません。
なお、A.3.4.2.3のa)~d)に該当する場合及び以下の場合は記録を残す必要はありません。
- a) 利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
- b) 合併その他の事由による事業の承継に伴って個人データが提供される場合
- c) 特定の者との問で共同して利用される個人データが当該特定の者に提供される場合であって,その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲,利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について,あらかじ め,本人に通知するか,又は本人が容易に知り得る状態に置いているとき
しかし、この内容は個人データに対するもので、単体の個人情報に適用されないとも考える為、当面様子を見ながら運用を行う必要があります。
A.3.4.2.8.3 第三者提供を受ける際の確認など
「個人情報保護法」第26条に基づき、組織は、第三者から個人データの提供を受けるに際しては,法令等の定めるところによって確認を行い、その記録を残しておく必要があります。
ただし,A.3.4.2.3のa)~d)のいずれかに該当する場合,又はA.3.4.2.8.2のa)~c)のいずれかに該当する場合は,確認する必要はありません。
この内容は個人データに対するもので、単体の個人情報に適用されないとも考える為、当面様子を見ながら運用を行う必要があります。
8 運用(A.3.4.2.9 匿名加工情報)
「個人情報保護法」第36条に、“匿名加工情報取扱事業者等の義務の義務”が定められたことにより、2017年版JIS Q 15001(プライバシーマーク)に匿名加工情報の取り扱いに関する内容が追加されました。
組織として匿名加工情報の取扱いを行うか否かの方針を定める必要があります。さらに匿名加工情報を取り扱う場合がある場合には、本人の権利利益に配盧し、かつ「個人情報保護法」第36条に定められた内容によって適切な取り扱いを行うことを定める必要があります。
8 運用(A.3.4.3 適正管理)
A.3.4.3.1 正確性の確保
個人データを,正確,かつ,最新の状態で管理することが分かるようにしておくことが必要です。
具体的な内容は、JIS規格や審査基準には記載がありませんが、2006年版JIS Q 15001(プライバシーマーク)のガイドラインを参考に定めることになりそうです。
A.3.4.3.2 安全管理措置
“6.1 リスク及び機会に対処する活動”にて、個人情報を取扱う場合のリスクへの対策を纏めることになりますから、ここで講じるとした対策をさだめることになります。
また、リスクの分析を行うときに含まれない可能性があるインフラストラクチャーの関係や、組織毎の共通に守られている内容を忘れずに規程に盛り込むことが重要です。
8 運用(A.3.4.3.3 従業者の監督)
“その従業者に個人データを取り扱わせるに当たっては,当該個人データの安全管理が図られるよう,当該従業者に対する必要かつ適切な監督を行う”ことを定める必要があります。
審査基準に“従業者との個人情報の非開示契約”などで監督状況を確認するとなっていますので、個人情報の非開示契約の締結、または誓約書の取得等を定めておく必要があると考えられます。
〔参考〕
運用上では個人情報の取扱いに対する誓約書を個別に取得するのではなく、組織に加入する場合に取得する総合的な誓約書に個人情報の取扱いの取り扱いを追加するだけで十分と考えられます。
対象が従業員ではなく、役員などを含む従業者になっていることが重要です。
トップマネージメントの方々をどう扱うかは、現時点では明確になっておりませんので、状況を見ていきたいと考えられます。
また、ビデオ及びオンラインによる従業者のモニタリングを行っている場合はその旨と、目的を従業者に対して通知する方法などを定めておく必要があります。
8 運用(A.3.4.3.4 委託先の監督)
“A.3.4.3.4 委託先の監督”では、個人データの取扱いの全部又は一部を委託する場合に以下の内容を行うこと求めています。
- ① 十分な個人データの保護水準を満たしている者を選定するために、委託を受ける者を選定する基準を確立すること。また、選定する基準は少なくとも委託する当該業務に関しては,自社と同等以上の個人情報保護の水準にあることを客観的に確認できることを含める必要があること。
- ② 委託を行う場合には、候補になる事業者を①で定めた選定基準で評価し、合格した事業者のみに委託すること。
- ③ 委託先として選定した事業者とは、個人情報の取扱いに関して契約を締結すること。また、この契約書は、対象になる個人データの保有期間にわたって保存すること。
個人データの取扱いに関して契約に含める事項は“A.3.4.3.4 委託先の監督”に定められています。しかし、個人番号を含んだ特定個人情報の取扱いを委託するに場合に、委託先と締結する契約に含める事項は、番号法や特定個人情報に関するガイドラインが求める契約が定めており、異なる部分があることに注意する必要があります。
JIS Q 15001(プライバシーマーク)では“個人データの委託”となっていますが、“個人情報の”委託も含まれえいると考えるべきと考えられます。
8 運用(A.3.4.4 個人情報に関する本人の権利)
厳密にいうと“保有個人データ(+)に関する本人の権利”となります。
なお、2017年版JIS Q 15001(プライバシーマーク)における“保有個人データ”は以下のように定義されます。
“+α”:保有個人データに該当しないが,本人から求められる利用目的の通知、
開示、内容の訂正,追加又は削除,利用の停止、消去及び第三者への
提供の停止の請求などの全てに応じることができる権限を有する個人情報
A.3.4.4.1 個人情報に関する権利
保有個人データ(+)に関して,本人から開示等の請求等を受け付けた場合は,以下の“A.3.4.4.4~A.3.4.4.7”の規定によって,遅滞なく(2週間以内)これに応じる必要があります。
A.3.4.4.4 保有個人データの利用目的の通知
- 利用目的の通知を求められた場合には,遅滞なくこれに応じる必要があります。なお、ただし書きが適用できる場合は応じる必要はありません。
A.3.4.4.5 保有個人データの開示
- 本人から,当該本人が識別される保有個人データの開示を求められたときは、遅滞なく応じる必要があります。なお、対象になる保有個人データが無い場合やただし書きが適用できる場合は応じる必要はありません。
- また、法令の規定によって特別の手続きが定められている場合はその手続きを行った上で応じる必要があります。
A.3.4.4.6 保有個人データの訂正,追加又は削除
- 本人から,当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの訂正,追加又は削除)の請求を受けた場合遅滞なく応じる必要があります。なお、対象になる保有個人データが無い場合などは応じる必要はありません。
- また、法令の規定によって特別の手続きが定められている場合はその手続きを行った上で応じる必要があります。
A.3.4.4.7 保有個人データの利用又は提供の拒否権
- 本人から当該本人が識別される保有個人データの利用の停止,消去又は第三者への提供の停止の請求を受けた場合、なお、対象になる保有個人データが無い場合やただし書きが適用できる場合は応じる必要はありません。
A.3.4.4.2 開示等の請求等に応じる手続
A.3.4.4.4~A.3.4.4.7の請求に応じるために、以下の内容を定めておくことが必要です。
- a)開示等の請求等の提出先
- b)開示等の請求等に際して提出すべき書面の様式その他の開示等の請求等の
方式 - c)開示等の請求等をする者が,本人又は代理人であることの確認の方法
- d)A.3.4.4.4又はA.3.4.4.5による場合の手数料(定めた場合に限る。)の微収方法。
なお、手数料を微収するときは,実費を勘案して合理的であると認められる
範囲内において,その額を決める必要があります。
本人からの開示等の請求等に応じる手続を定めるに当たっては,本人に過重な負担を課するものとならないよう配盧しなければなりません。
A.3.4.4.3 保有個人データに関する事項の周知など
保有個人データの管理者、利用目的、請求先、請求先等を本人が容易にわかるようにする必要があります。
プライバシーマークの付与適格決定を受けた事業者の大半はウェブページ等で公表しています。
8 運用(A.3.6 苦情及び相談への対応)
個人情報の取扱い及び個人情報保護マネジメントシステムに関して,本人からの苦情及び相談があった場合には、切かつ迅速な対応を行う必要があります。
そのために苦情や相談に、以下の内容を含めた手順を定めておく必要があります。
- 苦情や相談の受付窓口
- 本人からの苦情及び相談を受け付けて,適切かつ迅速な対応を行うための体制の整備を行っていること
- 対応内容、回答内容に対する承認手順
- 認定個人情報保護団体の対象事業者となっている場合は,当該団体の苦情解決の申し出先も明示していること。
〔参考〕
認定個人情報保護団体:個人情報保護委員会の認定を受け、個人情報取扱事業者等の個人情報等の適正な取扱いの確保を目的とした業務を行う組織(詳細は、「個人情報保護法」第47条を参照のこと。)
9.パフォーマンス評価(A.3.7 パフォーマンス評価)JIS Q 15001(プライバシーマーク) 改訂2017年度版の要求事項
“6 計画”にて計画を立て、“7 支援”で準備を行い、“8
運用”で運用を行い、“9 パフーマンス評価”で、その運用状況を確認します。
パフォーマンス評価は、以下の3項目に分かれています。
- 9.1 監視,測定,分析及び評価(A.3.7.1 運用の確認)
- 9.2 内部監査(A.3.7.2 内部監査)
- 9.3 マネジメントレビュー(A.3.7.3 マネジメントレビュー)
9.1 監視,測定,分析及び評価(A.3.7.1 運用の確認)
“9.1 監視,測定,分析及び評価”では、“組織は,個人情報保護パフォーマンス及び個人情報保護マネジメントシステムの有効性を評価しなければならない。”と定めています。
あわせて、有効性を評価する監視に対して、具体的な手順、次期、実施者、結果の分析及び評価の時期、実施者を定めること及び実施した結果として記録を残すことを求めています。
これらを受け、 “A.3.7.1 運用の確認”では、“個人情報保護マネジメントシステムが適切に運用されていること”を“組織の各部門及び階層において定期的に,及び適宜に確認するための手順を確立し,継続的に実施すること”と定めています。
審査基準では、上記の手順を定め、実施し、必要な場合には是正処置を行うことを求めていますが、具体的にどの様に定めるかよいかは明確にしていません。
2006版JIS規格に対するガイドラインでは、“運用の確認を確実に行うように、確認を行う時期(月〇回等)を含めた手順(最終退出時の点検実施状況、入退管理の実施状況を含めた点検項目、点検者、点検記録方法)を定めて、実施していることを求めており、この内容が参考になると考えられます。
9.2 内部監査(A.3.7.2 内部監査)
“9.1 監視,測定,分析及び評価(A.3.7.1 運用の確認)”では、自部門の運用状況の確認を定めていましたが、“9.2 内部監査(A.3.7.2 内部監査)”では、“個人情報保護マネジメントシステムのこの規格への適合状況及び個人情報保護マネジメントシステムの運用状況を少なくとも年一回適宜に監査”を他部署の人間によって実施することを求めています。
審査基準では、個人情報保護監査責任者の下で、“内部規程とこの規格との適合状況”及び“運用状況”の監査を実施することを定め、実施することを求めています。
2006年版JISのガイドラインでは、“全部門の監査”を行うことが求められていましたが、今回の審査基準では記載がありません。
しかし、運用は全社で行うことになっていますので、当面は“全部門の監査”を行うことと考えておいた方が良いと考えられます。
9.3 マネジメントレビュー(A.3.7.3 マネジメントレビュー)
トップマネジメントが,組織の個人情報保護マネジメントシステムが,引き続き,適切,妥当かつ有効であることを確実にするために、年一回、以下の内容をインプットとして個人情報保護マネジメントシステムの見直しをするように求めています。
- a)監査及び個人情報保護マネジメントシステムの運用状況に関する報告
- b)苦情を含む外部からの意見
- c)前回までの見直しの結果に対するフォローアップ
- d)個人情報の取扱いに関する法令,国の定める指針その他の規範の改正状況
- e)社会情勢の変化,国民の認識の変化,技術の進歩などの諸環境の変化
- f)組織の事業領域の変化
- g)内外から寄せられた改善のための提案
〔参考〕
a)の“個人情報保護マネジメントシステムの運用状況”として“運用の確認”の結果が報告されている場合が多いですが、運用結果全般の報告と考えるべきと考えられます。
例えば、“委託先の監督”に関していえば、“運用の確認”
や“監査”では適切に選定し、契約していることを確認したことを報告しますが、具体的な委託先や委託理由、委託内容では報告はされませんので、これらの内容はa)の一部で行うことになります。
10.改善JIS Q 15001(プライバシーマーク) 改訂2017年度版の要求事項
“9 パフォーマンス評価(A.3.7 パフォーマンス評価)”で、不適合や不備が見つかった場合は、改善が必要です。
10.1 不適合及び是正処置(A.3.8 是正処置)
不適合が発生した場合、その不適合を管理し,修正するための処置をとることが求められます。
また、不適合によって起きた結果を修正することや、再発の防止を行うことが必要です。
是正処置は、以下の手順で行うように定められています。
- a) 不適合の内容を確認する。
- b) 不適合の原因を特定し,是正処置を立案する。
- c) 期限を定め,立案された処置を実施する。
- d) 実施された是正処置の結果を記録する。
- e) 実施された是正処置の有効性をレビューする。
実施に当たっては以下の注意が必要です。
不適合の原因を深堀することで、表面的な再発防止策に終わらない様にすること。
是正措置が終わってから、効果が出始めるまでに時間が必要な場合が大半のため結果確認のあと一定期間経過後に有効性のレビューを行うこと。
10.2 継続的改善
“10.2 継続的改善”に“個人情報保護マネジメントシステムの適切性、妥当性及び有効性を継続的に改善しなければならない。”と定めれていますが、付属書Aに該当する項目はありません。
マネジメントシステムとしては、スパイラルアップしていくためにも継続的に適切性、妥当性及び有効性を確認し、必要に応じて改善していくことが必要です。
しかし、具体的な方法は示されていませんので、例えば“9.3 マネジメントレビュー(A.3.7.3 マネジメントレビュー)”を行う場合に、a)~g)のインプットや、その他の負荷情報を加えて確認した、“個人情報保護マネジメントシステムの適切性、妥当性及び有効性の確認結果”をh)項として加えるなどの方法が考えられます。
参考資料
1. 個人情報保護マネジメントシステムー要求事項 JIS Q 15001(プライバシーマーク):2017
(日本規格協会)
2.プライバシーマーク付与適格性基準 (2018年3月16日改訂)
(一般財団法人目本情報経済社会推進協会)