Pマーク新審査基準、Pマーク認定取得支援サービス
Pマーク　ISMSの社員教育eラーニング
スリープロサポート株式会社

Pマークコンサルタント：HOME ＞ 当社のPマーク支援が選ばれる理由 ＞ Pマーク新審査基準対応(2022)

Pマーク（プライバシーマーク）新審査基準（2022年4月1日以降）

　Pマークの審査基準が2022年4月1日以降大きく変わります。今回の大改定は、2020年6月12日公布された「改正個人情報保護法」が2022年4月1日より施行される事が大きく影響しており、2022年4月1日以降にPマーク認定取得の「申請」をする組織は、新規・更新に関係なく「新審査基準」が適用されます。更新申請をする組織においては、前回までの更新審査は既存のPMSの「運用確認」がほとんどでしたが、今回は、運用確認プラス、新たに審査基準として追加されたものをルール化し運用しなくてはなりません。このプラスされるルールが、主に改正個人情報保護法で改正された内容になっています。新審査基準や解説、新旧対比表などはJIPDECのホームページで公開されていますのでチェックしてみましょう。Pマークの新審査基準対応支援コンサルティングは是非スリープロサポートへお任せください。

　今までのPマークの認定審査は、JIS Q 15001:2017に基づき行われていたのですが、実際には「付属書A,B」をベースとした審査が実施されていました。JIS Q 15001:2017は、規格要求事項本文、付属書A,B,C,Dの5つから構成されています。付属書Aとは、管理目的と管理策と題され、具体的にこの管理策を実施していれば規格本文を満たしたことになりますよという規定の役割です。そして、付属書Bは、付属書Aの補足として規格解説やガイドラインの役割をはたしていました。審査では、この付属書A,Bを中心に確認、審査し、規格本文にはあまり触れていませんでした。

【2022年4月1日以前の申請でのPマーク審査基準】

　この審査基準が、2022年4月1日申請分より、簡単に言うとJIS Q 15001:2017の「規格本文」を含むすべての構成項目において審査が実施されるという事です。

【2022年4月1日以前の申請でのPマーク審査基準】

　故に、新規にPマークの認定審査を受ける組織は違和感なく取り組めるのですが、Pマーク更新審査を行う組織は、新たに主に「規格本文」と未対応である場合の「改正個人情報保護法」の対応を実施しなければいけません。通常の更新審査は基本は2年間の運用の確認になるわけですが、この活動プラスαの大きな作業が発生するという事です。　

□　個人情報の開示請求などの対象拡大
　改正法では個人情報を預ける「本人の権利」が強化されます。例えば、６か月以内に消去するデータや、個人データを提供・受領した際の記録についても開示請求の対象となります。また、開示方法についても本人が指示できるようになり、本人による保有個人データの利用停止・消去等の請求権も与えられます。 当然、Pマークの新審査基準では、この様な対応に関する規定の有無と、実施した場合は記録の確認も行われます。

□　 情報漏えい時の報告の義務化
　旧法では、個人情報が漏えいした際、その事実を個人情報保護委員会に報告することは「努力義務」であるのに対して、改正法では「報告義務」と「本人への通知義務」が追加され努力義務ではなくなりました。故に、Pマークの新審査基準対応として、漏洩時の報告・本人通知の手順をあらかじめ決めておかなければならないという事になります。

□　「仮名加工情報」の新設

　個人データを利活用のために加工して利用する際には、旧法では「統計情報」と「匿名加工情報」としての区分ががありましたが、これに新たな「仮名加工情報」が加わりました。旧法では、利用目的の追加や変更をする場合には、あらためて同意を得る必要があり、極めてハードルが高く大きな企業負担になっていました。この負担をやわらげ、データの利用活用を促進する為に新たに設けられたのが「仮名加工情報」です。一定の規律、加工方法に従ったデータであれば、あらためて顧客や利用者の同意を得ることなく利用できることになり、今まで以上に個人データの利活用を促進する事が期待されます。Pマークの新審査基準対応として、収集した個人データの利活用の有無や、その方法を規程で明確にしましょう。　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

□　懲役刑・罰金刑の強化

　法人に対する命令違反や、虚偽報告などをした際に発生する「ペナルティ」の上限額が大幅な引き上げられました。例えば、旧法では「個人情報保護委員会からの命令への違反」であれば「30万円以下の罰金」でしたが、改正法では「1億円以下の罰金」に大幅引き上げられています。Pマークの新審査基準対応としては特に対策はいりませんが、組織のリスクとしては300倍以上に跳ね上がったわけですから、社員の自覚を促すためにもこの内容を含む社員教育を実施しましょう。

□　外国企業への法の適用
　外国にある第三者へ個人情報を提供する場合、あらかじめ本人の同意が求められるようになりました。本人の同意を得る際に提供しなければならない情報として、�@ 移転先となる外国の名称、�A 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報、�B 第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報、が追加されました。 Pマークの新審査基準では、外国への提供先の有無や対応状況などを確認されます。

　Pマークの2022年4月1日以降の新審査基準サポートのコンサルティングは、是非スリープロサポートへお任せください。Pマーク現役審査員が担当し丁寧なサポートを心がけ、組織を安全にPマーク認定へと導きます。