2017年版プライバシーマークのJIS規格（JISQ15001:2017）での移行について

2018年7月17日

こんにちは。ＩＳＯコム通信にアクセスしていただきありがとうございます。

今回は2017年版プライバシーマークのJIS規格（JISQ15001:2017）での移行についてまとめました。

当社のISOコンサル実績はこちら

１．移行スケジュール

プライバシーマークの審査において2017年度版のJISQ15001の審査に関して、大体情報が出そろってきました。

概略をまとめると以下の様になります。

(1) 申請時：

・2018年7月末までに申請する場合には、現在の申請用紙を利用する。

・2018年8月以降に申請する場合には、新規の申請用紙を利用する。

（https://privacymark.jp/news/system/2018/0702.html　参照）

(2) 更新審査時：

・今から申請した場合は、審査は8月以降になりますので、新審査基準による審査になります。

①新審査基準への対応が未完了の事業者様

・審査で、規程文書や運用内容が2017年版に対応していない場合は、その部分に関しては“継続的改善事項に準ずる指摘”になりますが、次回の審査時までに対応すればよいことになります。
他の不備に関しては、今まで通りの指摘または継続的改善事項になります。
なお、“継続的改善事項に準ずる指摘”は2020年7月までの審査1回のみで、以後は通常の指摘となります。

・2006年版から変更されており“継続的改善事項に準ずる指摘”に例としては以下のような項目があります。

(a) 個人情報の特定（規格の内容が変更または追加になった例）

・2017年版附属書ＡのA.3.3.1において、個人情報を特定した個人情報の台帳の管理項目として、「保管期限」が追加になっていますので、管理項目のもれがあると判断される可能性があります。

(b) 特定加工情報（A.3.4.2.9）（項目が追加になった例）

・2017年版では2006年版に対して、上記の様に従来の項目に企画内容が追加になった場合が多いですが、“A.3.4.2.9 特定加工情報”の様に項目そのものが追加になっている場合があります。
しかし、特定加工情報を利用しない事業者は、“利用しないことを宣言”することでよいと思われます。利用する場合は、JIS規格にそって規程文書を追加することが必要です。

②新審査基準への対応が完了している事業者様

・従来と同じとなります。新審査基準で不適合と判断された場合は従来通り指摘事項になります。また、諸事情を考慮して継続的改善になる場合もあります。

③新審査基準

・新審査基準はすでに公表されており、その内容から原則として附属書Aの項目に対して行うことになるようです。

・ただし、公表されている審査基準では、審査項目はわかりますが、判断基準が具体的ではなく、やはりガイドラインの発行が期待されます。

(3) 新規審査時

・更新審査の場合と異なり、2018年7月31日までの申請とそれ以降に申請では審査の内容が異なりますので注意が必要です。

・申請書の日付（当日消印有効）が2018年7月31日まで場合は、原則として現行の審査基準にて審査が行われます。現在では、申請から遅くとも3か月以内に現地審査が行われていますから10月末ぐらいまでは、現行の審査基準での審査が行われることになります。

・2018年8月1日以降の申請は、新審査基準にて審査が行われます。

・どちらがよいかは事業者様のお考えによりますが、すでに2006年版で準備をされている場合には、極力7月31日までに申請されることをお勧めします。

２．JIS規格改正のポイント

JIS規格の改正のポイントは大きく分けて3点あります。

(1) 規格そのものの構成の変更

・従来の2006年版のプライバシーマークのJIS規格（JISQ15001：2006）は本文と解説のみでしたが、2017年版では、本文、附属書A～Dに変更になっています。これは、全体の構成をマネジメントシステムとしての規格としてISMSなどの構成に合わせたとのことで、実際に運用する立場としてはあまり関係がない理由です。

・2017年版の改正作業はISMSの規格（JISQ27001：2014）の“情報セキュリティ”の表現を“個人情報保護”に変換することから始まったと話がありますが、確かに本文の目次はそっくりです。

・2006年版の本文に記載された内容は、一部本文に移されていますが、附属書Aに記載されており、項番も関連づいています。

（例えば2006年版の3.3.1の内容は、2017年版附属書AのA.3.3.1に記載されています。なお、内容は適時修正されています。）

(2) 改正個人情報保護法への適用

・個人情報保護保護法の変更点が反映されています。

・例として１．移行スケジュール(2)に記載した例のほか、承認に関する“一般”（A.3.1.1）、第三者提供に関して“外国にある第三者への提供の制限”(A.3.4.2.8.1)、“第三者提供に係る記録の作成など”(A.3.4.2.8.2）、“第三者提供を受ける際の確認など” (A.3.4.2.8.3）などが追加になっています。

・“一般”（A.3.1.1）の様に追加が必須の内容と、必要に応じて追加が必要な部分と双方があるともいますので、業務内容と併せて検討が必要です。

(3) 用語をわかりやすく修正

・用語を個人情報保護法に表現に統一しています。

この結果、個人情報は原則生存者の情報のみに限定されます。個人的には亡くなられた方の情報も保護すべきと思いますが、「個人情報保護法」第2条“この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。”と定めておりますので、定義を表現したものと思います。

・個人情報保護法に、“要配慮個人情報”に関する内容が追加になり、これに合わせてプライバシーマークの規格（JISQ15001）でも“特定の機微な個人情報”が“要配慮個人情報”に変更になりました。多少、定める必要がある内容も増加になっていますが、差別につながる情報と考えは変わっていないと思います。

・従来JIS規格では用いていなかった用語“個人データ”が採用され、これを受けて“開示対象個人情報”が“保有個人データ”に変更になりました。しかし、2017年版の附属書B（管理策に関する補足）のB.3.4.4.1の説明を合わせると、開示などの求めに応ずべき範囲は個人情報保護法の“保有個人データ”の範囲より広くなっており、今後混乱をまねきそうです。

・わかりにくい表現を一般的な用語に統一しています。
例として、“本人にアクセスする場合の措置”（2006年版3.4.2.7）を“本人に連絡または接触する場合の措置”（2017年版A.3.4.2.7）に修正したことと思います。
また、“教育”（2006年版3.4.5）は、“認識” （2017年版A.3.4.5）に変更されており、マネジメントシステムとしては一般的な表現と思いますが、プライバシーマークのみを運用する側としては、わかりにくくなったようにも思います。

参考URL

・JIS改正に伴うプライバシーマーク審査基準の改正について

https://privacymark.jp/system/operation/jis_kaisei/index.html

・プライバシーマーク付与適格性基準

https://privacymark.jp/system/guideline/pdf/pm_shinsakijun.pdf

ブログを読んでいただき、ありがとうございました。

弊社のコンサルティングにご興味のある方は、こちらまでお気軽にご相談ください。

ISOコム株式会社お問合せ窓口 0120-549-330