第3回目 プライバシーマーク JISQ15001:2006とJISQ15001:2017との比較
投稿日:2018年5月28日 最終更新日:2025年4月1日
今回から、具体的に規程文書を修正していくことも念頭に置いて、まとめていきたいと思います。
一口に、規程と言っても規程文書は各事業者様で作られているため、プライバシーマークの付与適格決定を受けた事業者様の数だけあるはずです。
他の事業者様の規程を参考にしても、一部は自社向けに修正する必要があるため、全く同じ規程文書はないと思います。
そんなことはないと反論されるかもしれませんが、個人情報保護方針が、理念や代表者名まで他社と同じだと、まず審査は通りません。
したがって、ここではモデルになる規程文書を想定して、最低限の工数でJISQ15001:2017に合わせていく事を考えたいと思います。
モデルになる規程文書は以下の4冊で纏めていると想定します。
-「個人情報保護方針」
– JIS規格の要求事項を纏めた「個人情報保護規程」
– 安全対策を纏めた「安全対策管理規程」
– 番号法に基づく実施内容をまとめた「特定個人情報取扱規程」
上記の規程文書の内、「安全対策管理規程」及び「特定個人情報取扱規程」はJIS規格の更新にて、ほぼ影響はないと考えられます。
「安全対策管理規程」及び「特定個人情報取扱規程」の内容を「個人情報保護規程」等に纏めて記載している場合は、以後に述べます2017年版の該当場所にそのまま記載すれば良いでしょう。
また、具体的な細則を利用されている場合は、基本規程と細則の両方に修正を加える必要があります。
以下に2006年版JIS要求事項にて作成されている規程文書を2017年版に修正していく方法を述べていきます。
なお、この内容はJIPDECのウェブサイトで公表されている2017年版に対する2018年5月1日時点での審査基準を用いる為、審査基準の変更やガイドラインの公表により修正になることがあります。
1.2006年版におけるJIS要求事項1.(適用範囲)
・2006年版のガイドラインでは、適用範囲において2項目の記載が求められていました。
①全従業者を人的範囲に定めていること。
②事業の用に供している個人情報を適用対象とするよう定めていること。
・一方、2017年版に対する審査基準では適用範囲に関して記載がありません。
・しかし、2017年版JIS規格の本文1.(適用範囲)に“組織が、自らの事業の用に供している
個人情報に関する、個人情報保護マネジメントシステムを確立”することから、
上記②はそのままにしておく必要があります。
また、①に関しては、具体的な記載はありませんが、Pマークのウェブサイトに以下の記述があるため、そのままにしておいた方がよいでしょう。
新審査基準による審査対象(従来通り):事業者単位の 審査
*規格の主体は“組織”に変更されましたが、審査は従来通り“事業者”単位で行います。
(https://privacymark.jp/system/operation/jis_kaisei/jdi6lq0000000gdq-att
/jis2017_schedule_update.pdf)
・なお、①の内容を記載するときに、従業者の範囲を明確にしていない場合がありますが、ここで定義するか、2017年版JIS要求事項3.(用語及び定義)で定義することをお勧めします。
特に、定めた規程の適用範囲には役員が含まれていること明確にしておくことが必要です。
次回以降も、2006年版JIS規格の項番に、2017年版への修正方法を検討して行きます。
参考文献(次号以降では、参考文献に変更や追加がない場合は記載を省略します。)
1.「JISQ15001:2006」(日本工業標準調査会 審議:日本規格協会:平成18年5月20日改正)
2.「JISQ15001:2017」(日本工業標準調査会 審議:日本規格協会:平成29年12月20日改正)
3.「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のための
ガイドライン-第2版-」(財団法人日本情報処理開発協会 プライバシーマーク推進センター
編集、日本規格協会:2010年8月25日発行)
4.「プライバシーマーク付与適格性審査基準」(一般財団法人日本情報経済社会推進協会
プライバシーマーク推進センター(平成30年1月12日(平成30年3月16日改訂))
ブログを読んでいただき、ありがとうございました。
ISO取得のご依頼はこちらまで今すぐご相談を!
ISOコム株式会社お問合せ窓口 0120-549-330
.jpg)
