Pマークコンサルタント:HOME >JIS Q 15001:2006 > JIS Q 15001:2017 (新JIS 改訂)> JIS Q 15001:2017主な変更点
プライバシーマーク(Pマーク)の認定基準である「JISQ15001:2017年度版」は、改訂にあたり様々な大小の変更・強化・追加点が見られます。まず目を引くのは、@規格構成の変更です。これはISOマネジメントシステムの章立てと共通化を図っていることです。他のマネジメントシステムと統合しやすくし、様々な仕組みを効率良く運用できるように配慮しています。次に、A改訂個人情報保護法と親和性を深めるための変更・追加が行われています。また、Bリスク及び機会(チャンス、改善策)への取り組みが強化されており、組織の強み、弱み、脅威、機械を洗い出し名明文化するように促しています。最後に、 Cリーダーシップの強化が見られ、現行規格においてもリーダーシップは重要な要素として位置づけられていますが、「運用代行」を防ぐ意味もあり、改定規格ではこれまで以上に“リーダーシップ”が強化されています。
規格本文は、ISO付属書SL(ISOマネジメントシステムの規格構造の共通化:上図ではISO27001と比較)と同様の構成となっており、「目的」が違うだけでベースとなる構造・考え方(PDCA)は同じです。JIS Q 15001は個人情報管理のため、ISO27001は情報資産管理のため、ISO9001は品質確保、顧客満足のため、ISO14001は環境保全のため、というそれぞれの目的に応じた管理の仕組み(順にPMS、ISMS、QMS、EMS)を要求した規格という事になります。上図で確認できるように、旧版の良い所は残しつつ、ISO27001の管理策を参考とする事で情報セキュリティ全般の概念も取り込み、より個人情報を適切に取り扱う仕組みを強化しています。
□ 個人情報保護法の改正に伴う用語の変更、規格追加
用語の変更として、「特定の機微な個人情報」を「要配慮個人情報」、「個人情報」を「個人データ」へ一部変更、「開示対象個人情報」を「保有個人データ」に変更しています。また規格の追加事項として「外国にある第三者への提供の制限」、「第三者提供に係る記録の作成」、「第三者提供を受ける際の確認」、「匿名加工情報」の扱いなどが追加されています。
□ 6.1 リスク及び機会に対処する活動
会社の現状(強み、弱み)を把握し、利害関係者のニーズを考慮し、どこにリスクまたはチャンスや改善策があり、どの様に取り組んでいくかを求めています。実際には各企業で普通に実施していることなのですが、規格要求事項として明文化することで、再認識・自覚させています。
□ 5 リーダーシップ
現行規格においても、リーダーシップは重要な要素として位置づけられていますが、ISOマネジメントシステムの2015年度版の大幅改訂に規格構成を合わせた結果として、JIS Q 15001:2017においてもこれまで以上に強化されることになりました。また、JIPDECが注意喚起した「Pマーク代行」を認めないというルールを強化するためにも審査では厳しく確認されます。
【規格要求事項】
まえがき |
まえがき |
0 序文 |
- |
0.1 概要 |
- |
0.2 他のマネジメントシステム規格との近接性 |
- |
1 適用範囲 |
1 適用範囲 |
2 引用規格 |
- |
3 用語及び定義 |
2 用語及び定義 |
(“3.1 組織”から“3.46 リスク所有者”まで定義) |
(“2.1 個人情報”から“2.8 不適合”まで定義) |
4 組織の状況 A.3.1.1 一般 |
- |
4.1 組織及びその状況の理解 A.3.3.2 法令,国が定める指針その他の規範 |
3.3.2 法令,国が定める指針その他の規範 |
4.2 利害関係者のニーズ及び期待の理解 |
- |
4.3 個人情報保護マネジメントシステムの適用範囲の決定 A.3.3.1 個人情報の特定 |
3.3.1 個人情報の特定 |
4.4 個人情報保護マネジメントシステム |
3 要求事項 |
5 リーダーシップ |
- |
5.1 リーダーシップ及びコミットメント |
3.3.4 資源,役割,責任及び権限 |
5.2 方針 A.3.2 個人情報保護方針 |
3.2 個人情報保護方針 |
5.2.1 内部向け個人情報保護方針 A.3.2.1 内部向け個人情報保護方針 |
- |
5.2.2 外部向け個人情報保護方針 A.3.2.2 外部向け個人情報保護方針 |
- |
5.3 組織の役割,責任及び権限 A.3.3.4 資源,役割,責任及び権限 |
3.3.4 資源,役割,責任及び権限 |
6 計画 |
3.3 計画 |
6.1 リスク及び機会に対処する活動 |
- |
A.3.3.5 内部規程 |
3.3.5 内部規程 |
6.1.1 一般 |
- |
6.1.2 個人情報保護リスクアセスメント A.3.3.3 リスクアセスメント及びリスク対策 |
3.3.3 リスクなどの認識,分析及び対策 |
6.1.3 個人情報保護リスク対応 A.3.3.3 リスクアセスメント及びリスク対策 |
3.3.3 リスクなどの認識,分析及び対策 |
6.2 個人情報保護目的及びそれを達成するための計画策定 A.3.3.6 計画策定 |
3.3.6 計画書 |
7 支援 |
- |
7.1 資源 A.3.3.4 資源,役割,責任及び権限 |
3.3.4 資源,役割,責任及び権限 |
7.2 力量 A.3.3.4 資源,役割,責任及び権限 |
3.3.4 資源,役割,責任及び権限 |
7.3 認識 A.3.4.5 認識 |
3.4.5 教育 |
7.4 コミュニケーション A.3.3.7 緊急事態への準備 |
3.3.7 緊急事態への準備 |
7.5 文書化した情報 7.5.1 一般 A.3.5 文書化した情報 |
3.5 個人情報保護マネジメントシステム文書 |
7.5.2 作成及び更新 7.5.3 文書化した情報の管理 A.3.5.1 文書化した情報の範囲 A.3.5.2 文書化した情報(記録を除く。)の管理 A.3.5.3 文書化した情報のうち記録の管理 |
3.5.2 文書管理 |
8 運用 A.3.4 実施及び運用 |
3.4 実施及び運用 |
8.1 運用の計画及び管理 |
3.4.1 運用手順 |
A.3.4.1 運用手順 |
3.4.1 運用手順 |
A.3.4.2 取得,利用及び提供に関する原則 |
3.4.2 取得,利用及び提供に関する原則 |
A.3.4.2.1 利用目的の特定 |
3.4.2.1 利用目的の特定 |
8.2 個人情報保護リスクアセスメント |
3.4 実施及び運用 |
8.3 個人情報保護リスク対応 |
3.4 実施及び運用 |
A.3.4.2.2 適正な取得 |
3.4.2.2 適正な取得 3.4.2.3 特定の機微な個人情報の取得,利用及び提供の |
A.3.4.2.3 要配慮個人情報 |
3.4.2.3 特定の機微な個人情報の取得,利用及び提供の制限 |
A.3.4.2.4 個人情報を取得した場合の措置 |
3.4.2.5 個人情報を3.4.2.4 以外の方法によって取得した場合の措置 |
A.3.4.2.5 A.3.4.2.4 のうち本人から直接書面によって取得する場合の措置 |
3.4.2.4 本人から直接書面によって取得する場合の措置 |
A.3.4.2.6 利用に関する措置 |
3.4.2.6 利用に関する措置 |
A.3.4.2.7 本人に連絡又は接触する場合の措置 |
3.4.2.7 本人にアクセスする場合の措置 |
A.3.4.2.8 個人データの提供に関する措置 |
3.4.2.8 提供に関する措置 |
A.3.4.2.8.1 外国にある第三者への提供の制限 |
- |
A.3.4.2.8.2 第三者提供に係る記録の作成など |
- |
A.3.4.2.8.3 第三者提供を受ける際の確認など |
- |
A.3.4.2.9 匿名加工情報 |
- |
A.3.4.3 適正管理 |
3.4.3 適正管理 |
A.3.4.3.1 正確性の確保 |
3.4.3.1 正確性の確保 |
A.3.4.3.2 安全管理措置 |
3.4.3.2 安全管理措置 |
A.3.4.3.3 従業者の監督 |
3.4.3.3 従業者の監督 |
A.3.4.3.4 委託先の監督 |
3.4.3.4 委託先の監督 |
A.3.4.4 個人情報に関する本人の権利 |
3.4.4 個人情報に関する本人の権利 |
A.3.4.4.1 個人情報に関する権利 |
3.4.4.1 個人情報に関する権利 |
A.3.4.4.2 開示等の請求等に応じる手続 |
3.4.4.2 開示等の求めに応じる手続 |
A.3.4.4.3 保有個人データに関する事項の周知など |
3.4.4.3 開示対象個人情報に関する事項の周知など |
A.3.4.4.4 保有個人データの利用目的の通知 |
3.4.4.4 開示対象個人情報の利用目的の通知 |
A.3.4.4.5 保有個人データの開示 |
3.4.4.5 開示対象個人情報の開示 |
A.3.4.4.6 保有個人データの訂正,追加又は削除 |
3.4.4.6 開示対象個人情報の訂正,追加又は削除 |
A.3.4.4.7 保有個人データの利用又は提供の拒否権 |
3.4.4.7 開示対象個人情報の利用又は提供の拒否権 |
A.3.6 苦情及び相談への対応 |
3.6 苦情及び相談への対応 |
9 パフォーマンス評価 A.3.7 パフォーマンス評価 |
3.7 点検 |
9.1 監視,測定,分析及び評価 |
3.7.1 運用の確認 |
9.2 内部監査 |
3.7.2 監査 |
9.3 マネジメントレビュー |
3.9 事業者の代表者による見直し |
10 改善 |
3.8 是正処置及び予防処置 |
10.2 継続的改善 |
3.1 一般要求事項 |
※ 赤字が今回新たに追加された要求事項
※ A=付属書A
【用語】
組織 |
事業者 |
トップマネジメント |
代表者,事業者の代表者 |
個人情報保護リスク |
リスク |
個人情報保護リスクアセスメント |
リスクの認識,分析 |
個人情報保護リスク対応 |
(リスクの)対策 |
認識,教育など |
教育 |
文書化した情報 |
個人情報保護マネジメントシステム文書 |
文書化した情報(記録を除く。) |
文書 |
文書化した情報のうち記録 |
記録 |
運用 |
実施及び運用 |
本人に連絡又は接触する |
本人にアクセスする |
パフォーマンス評価 |
点検,代表者による見直し |
内部監査 |
監査 |
マネジメントレビュー |
代表者による見直し |
是正処置 |
是正処置及び予防処置 |
Pマーク(プライバシーマーク)更新認定における、2017年度版更新のコンサル・サポートは是非スリープロサポートにお任せください。スリープロサポートはPマークの現役の審査員資格を保有する講師が親切・丁寧にコンサルティングを提供させていただきます。Pアーク更新・改訂に伴うご質問などもお気軽にご相談ください。
経験豊富な営業、実績豊富なコンサルタントが貴社のPマーク、ISMS構築を強力にバックアップいたします。
様々なコンサルティングメユーより、貴社のニーズを満足させた、最適なプログラムを提供させていただきます。
価格はご相談ください。ご予算の範囲内で収めるような、納得のいく低価格を実現しました。
HOME プライバシーマーク制度とは Pマーク取得メリット Pマーク取得支援サービス Pマーク取得フロー Pマーク取得費用