JISQ15001:2017における主な改定ポイント

2018年2月19日

2017年12月20日、JISQ15001が大きく改訂されました。前回の改訂が2006年であるため、実に11年ぶりの大改訂となります。今回の改訂により何がどのように変わったのか、特にプライバシーマーク取得企業の立場としては非常に気になるところ。

ではまず今回の改訂に至った経緯をご説明しましょう。JISQ15001:2017の最後には「解説」ページがあり。そこに今回の改訂に至った経緯が明記されているのでそこから抜粋してみます。

 

この規格は,JIS Q 15001:1999(個人情報保護に関するコンプライアンス・プログラムの要求事項)として平成 11 年に初版が制定された。

その後,情報技術の発展に伴い,個人情報の保護の必要性が一層高まるとともに,“個人情報の保護に関する法律”(平成 15 年 5 月 30 日法律第 57 号。以下,個人情報保護法という。)が平成 15 年に制定され,平成 17 年 4 月からの全面施行を迎え,規格を取り巻く環境は大きく変化した。

このような状況の変化を踏まえ,平成 18 年に,個人情報保護法に基づく個人情報保護ルール及びマネジメントシステムを併せもった規格に改正し,JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)(以下,旧規格という。)とした。

さらに,平成 23 年には,この規格の要求事項の解釈に関し,個人情報保護法の施行後の取組みとの関係においてより明確化が求められてきた部分について,要求事項本体の改正ではなく,高度で精緻な取組みに求められる記載内容を修正し充実化を図る改正を経て今回の改正に至った。

今回,経済産業省は,JIS Q 15001 改正原案作成委員会を組織し,JIS 原案を作成した。

 

このように記載されています。つまり、「情報技術の発展とともに個人情報保護に関する決め事も複雑化してきた。あわせて改正個人情報保護法も施行されたのでJISQ15001も改訂した」ということですね。

では、具体的にどのような改訂が行われたのか、いくつかの重要なポイントを例に挙げ解説いたします。

◇他のISO規格との整合性をとった内容に変更

規格を構成する章立てが、ISOマネジメント規格で使用している「HLS(ハイレベルストラクチャー)」に合わせることになり、同一組織内で運用している他のISO規格や内部統制などに規定を統一できるよう配慮されています。

それに伴い、旧規格であるJISQ15001:2006の規格内容が新規格では「付属書A」扱いに、解説文書の内容が新規格では「付属書B」扱いになっています。つまり、規格本文の内容が旧版と比較するとガラッと変更されており、旧版の内容は付属書として扱われているということですね。

 

◇従来のPマーク(JISQ15001:2006)の構成を保持しつつ改正個人情報保護法に対応

改正個人情報保護法に対応し、条文中の用語を全面的に改正法に寄せています。例えばこれまであいまいであった「個人情報」「個人データ」「保有個人データ」の区別が登場したり、あわせて「要配慮個人情報」「匿名加工情報」の概念を盛り込んだりと、高度化する情報社会に対応した改訂がなされているのです。

他にも、個人情報保護方針が内部向けと外部向けの2方向になったり、「特定の機微な個人情報」が「要配慮個人情報」となったりするなど、細かな修正が加えられているのが特徴です。

◇付属書A(規定)管理目的及び管理策の理解が最も重要

前述の通り、本文は他のISO規定とほぼ同一であり、組織のPマーク担当者が新たに何かしらのアクションを行うことはないでしょう。というのも、改訂JISQ15001:2017で最も重要なのは「付属書A」の理解であり、改正個人情報保護法への対応やPマーク審査で求めている事項はこちらに集約されているということです。

 

なお、Pマークに関しては2018年7月31日までは旧規格であるJISQ15001:2006で受付がおこなわれ、審査を実施します。新規格への移行期間は2020年7月31日までとなっており、それまでにPマークを取得している企業はすべて新規格に移行させる必要があるという点にもご注意ください。

Category: ISO