Monthly Archives: 2月 2018

JISQ15001:2017における主な改定ポイント

2017年12月20日、JISQ15001が大きく改訂されました。前回の改訂が2006年であるため、実に11年ぶりの大改訂となります。今回の改訂により何がどのように変わったのか、特にプライバシーマーク取得企業の立場としては非常に気になるところ。

ではまず今回の改訂に至った経緯をご説明しましょう。JISQ15001:2017の最後には「解説」ページがあり。そこに今回の改訂に至った経緯が明記されているのでそこから抜粋してみます。

 

この規格は,JIS Q 15001:1999(個人情報保護に関するコンプライアンス・プログラムの要求事項)として平成 11 年に初版が制定された。

その後,情報技術の発展に伴い,個人情報の保護の必要性が一層高まるとともに,“個人情報の保護に関する法律”(平成 15 年 5 月 30 日法律第 57 号。以下,個人情報保護法という。)が平成 15 年に制定され,平成 17 年 4 月からの全面施行を迎え,規格を取り巻く環境は大きく変化した。

このような状況の変化を踏まえ,平成 18 年に,個人情報保護法に基づく個人情報保護ルール及びマネジメントシステムを併せもった規格に改正し,JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)(以下,旧規格という。)とした。

さらに,平成 23 年には,この規格の要求事項の解釈に関し,個人情報保護法の施行後の取組みとの関係においてより明確化が求められてきた部分について,要求事項本体の改正ではなく,高度で精緻な取組みに求められる記載内容を修正し充実化を図る改正を経て今回の改正に至った。

今回,経済産業省は,JIS Q 15001 改正原案作成委員会を組織し,JIS 原案を作成した。

 

このように記載されています。つまり、「情報技術の発展とともに個人情報保護に関する決め事も複雑化してきた。あわせて改正個人情報保護法も施行されたのでJISQ15001も改訂した」ということですね。

では、具体的にどのような改訂が行われたのか、いくつかの重要なポイントを例に挙げ解説いたします。

◇他のISO規格との整合性をとった内容に変更

規格を構成する章立てが、ISOマネジメント規格で使用している「HLS(ハイレベルストラクチャー)」に合わせることになり、同一組織内で運用している他のISO規格や内部統制などに規定を統一できるよう配慮されています。

それに伴い、旧規格であるJISQ15001:2006の規格内容が新規格では「付属書A」扱いに、解説文書の内容が新規格では「付属書B」扱いになっています。つまり、規格本文の内容が旧版と比較するとガラッと変更されており、旧版の内容は付属書として扱われているということですね。

 

◇従来のPマーク(JISQ15001:2006)の構成を保持しつつ改正個人情報保護法に対応

改正個人情報保護法に対応し、条文中の用語を全面的に改正法に寄せています。例えばこれまであいまいであった「個人情報」「個人データ」「保有個人データ」の区別が登場したり、あわせて「要配慮個人情報」「匿名加工情報」の概念を盛り込んだりと、高度化する情報社会に対応した改訂がなされているのです。

他にも、個人情報保護方針が内部向けと外部向けの2方向になったり、「特定の機微な個人情報」が「要配慮個人情報」となったりするなど、細かな修正が加えられているのが特徴です。

◇付属書A(規定)管理目的及び管理策の理解が最も重要

前述の通り、本文は他のISO規定とほぼ同一であり、組織のPマーク担当者が新たに何かしらのアクションを行うことはないでしょう。というのも、改訂JISQ15001:2017で最も重要なのは「付属書A」の理解であり、改正個人情報保護法への対応やPマーク審査で求めている事項はこちらに集約されているということです。

 

なお、Pマークに関しては2018年7月31日までは旧規格であるJISQ15001:2006で受付がおこなわれ、審査を実施します。新規格への移行期間は2020年7月31日までとなっており、それまでにPマークを取得している企業はすべて新規格に移行させる必要があるという点にもご注意ください。

Category: ISO

7.5文書化した情報 作成・更新と情報の管理について規定する

「7.5文書化した情報」に規定されている内容は、旧2004年版ISO14001における「4.4.4文書類」「4.4.5文書管理」「4.5.4記録」に該当していた内容です。実は2004年版においては「文書化した情報」という文言は出てきておらず、今回の改訂で初めて登場した表現であるためやや戸惑う方も多いでしょう。この「文書化した情報」という表現は、2004年版での「文書」(EMSについて文字として表現されたもの)と「記録」(文書を保持・更新する手段)に該当すると考えてよさそうです。

この「文書化した情報」という表現は、ハイレベルストラクチャー(HLS)の採用によりすべてのISO規定と統一された表現となっています。

また、「7.5文書化した情報」は3つの細分箇条に分かれています。それぞれ「7.5.1一般」「7.5.2作成および更新」「7.5.3文書化した情報の管理」となっており、それぞれの細分箇条において旧2004年版から大きく変更されています。

では、2015年版ISO14001の条文を見てみましょう。

 

7.5.1 一般

組織の環境マネジメントシステムは、次の事項を含まなければならない。

  1. a) この規格が要求する文書化した情報
  2. b) 環境マネジメントシステムの有効性のために必要であると組織が決定した文書化した情報

注記)環境マネジメントシステムのための文書化した情報の程度は、次のような理由によってそれぞれの組織で異なる場合がある。

―組織の規模並びに活動、プロセス、製品およびサービスの種類

―順守義務を満たしていることを実証する必要性

―プロセス及びその相互作用の複雑さ

―組織の管理下働く人々の力量

7.5.2 作成および更新

文書化した情報を作成および更新する際、組織は,次の事項を確実にしなければならない。

  1. a) 適切な識別及び区別(例えばタイトル、日付、作成者、参照番号)

b)適切な形式(例えば言語、図表、ソフトウェアの版)

c)適切性及び妥当性に関する適切なレビュー及び承認

7.5.3 文書化した情報の管理

環境マネジメントシステム及びこの規格で要求されている文書化した情報は、次の事項を確実にするために管理しなければならない。

a)文書化した情報が、必要な時に、必要なところで入手可能かつ利用に適した状態である。

b)文書化した情報が十分に保護されている(例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護)

文書化した情報の管理に当たって、組織は、該当する場合には必ず次の行動に取り組まなければならない。

―配付、アクセス、検索及び利用

―読みやすさが保たれることを含む、保管および保存

―変更の管理(例えば版の管理)

―保持及び廃棄

環境マネジメントシステムの計画及び運用のために組織が必要と決定した外部からの文書化した情報は、必要に応じて識別し管理しなければならない。

注記)アクセスとは、文書化した情報の閲覧だけに関する決定、文書化した情報の閲覧および変更の許可及び権限に関する決定を意味し得る。

 

 

このように、非常に細かく、また注記なども多く盛り込まれた条文となっています。

では「7.5.1一般」から順に解説いたします。この細分箇条は主に2004年版の「4.4.4文書類」に該当する内容です。わざわざ注記によって「文書化した情報はそれぞれの組織で異なる」と明記されているのは、大企業と同じようなEMSを中小企業でも導入するケースが相次いでいたことに配慮した結果であると言えます。企業や組織の規模及び従業員のスキルレベルによって文書化した情報の程度を変えるよう求めているということですね。

「7.5.2作成および更新」では「例えば・・・」という記述が多いことに注目してみましょう。条文の内容自体は至ってシンプルです。わかりやすく識別番号などを使って文書を作成しましょうということですが、それがEMS活動のどの部分にあたるかをしっかり文書内に落とし込まなければならないということを規定しているのです。文書のフォーマットを統一することはもちろん、タイトルの付け方や日付・作成者情報など、これら例に挙がっている情報を満たした文章を作成するように留意してください。

最後に「7.5.3文書化した情報の管理」ですが、電子媒体での管理に配慮した内容となっていることに着目してください。旧2004年版では紙媒体での管理を前提としていましたが、今回の改訂により電子媒体での管理を視野に入れた内容に変更されています。「機密性」「完全性の喪失」といった文言が並んでいることからもその変更の意図を読み取ることができるでしょう。

従って、電子媒体での管理を前提として、アクセス権限の管理や公開範囲などを明確に定め運用することが求められているということになります。

Category: ISO