JIS Q 15001:2017｜Pマーク　ISMSのコンサル　取得は
スリープロサポート株式会社

Pマークコンサルタント：HOME ＞JIS Q 15001:2006 ＞ JIS Q 15001規格解説 3.3.1〜3.3.3

　JIS Q 15001:2006　規格解説　項番3.3.1〜3.3.3

　Pマークの認定を考えるとき、非常に多くの自社工数が発生する作業の一つが「個人情報の特定」及び「リスクアセスメント」です。何が「個人情報」に該当するか、明確な定義を理解していないと、Pマーク審査時に「個人情報管理台帳」から項目の漏れ(不足）を指摘され、再度洗い出し→リスクアセスメントを行うという2度手間が生じる時が多々あるようです。個人情報保護管理責任者は、個人情報の特定の手順をきちんと確立する事が重要です。
　スリープロサポートでは個人情報の洗い出しからリスクアセスメントを自動で行うツール（Accessリスクアセスメントプログラム）をご用意していますので企業の作業工数を半分〜1/10まで抑える事が可能になります。ご興味がある企業は是非一度ご相談ください。

※引用：JIS Q 15001:2006

【解説】
　3.3.1の個人情報の特定では、本社や拠点を含む、企業活動に利用している全ての個人情報を、漏れなく把握（特定）できる手順を確立し、維持する事を要求しています。個人情報管理台帳を作成する場合、「定められた手順」通りに個人情報が特定されている必要があるという事です。Pマークの審査ではよく管理台帳の個人情報の漏れが指摘されています。

※引用：JIS Q 15001:2006

【解説】
　3.3.2では、「個人情報関連法令」、「各省のガイドライン」および「業界のガイドライン」を特定及び参照する手順を確立する事を要求しています。 また、この要求事項は、JIS Q 15001の規格要求事項だけではなく「個人情報関連法令」、「各省のガイドライン」および「業界のガイドライン」なども自社で構築・運用するPMSに反映させるための要求事項でもあります。個人情報保護法だけで無く、各市町村の政令なども当然チェックしましょう。また、特定し、参照できる手順には「誰が」「何時」「どの様に」特定及び参照できるようにするのかを明確にしましょう。Pマークの審査時には「法令等一覧表」を準備しましょう。

※引用：JIS Q 15001:2006

【解説】
　3.3.3では、3.3.1で特定した個人情報を取り扱う際に想定される全てのリスクを管理することを求めています。想定されるリスクを漏れなく洗い出すためには、個人情報を入手（取得）してから廃棄されるまでの「個人情報のライフサイクル」の全ての局面ごとに洗い出し、対策を施す必要があります。Pマークを認定取得する為に、多くの作業工数を有する要求事項の一つとなります。

当社の「リスクアセスメントプログラム」は企業の作業工数を極限まで抑える事が可能です。