JISQ15001「箇条4.組織の状況」について

2018年4月17日

改訂された2017年版JISQ15001ですが、以前の記事でご紹介したようにHLS(ハイレベルストラクチャー)の採用により構成が大きく変更されています。2006年版では本文として規定されていた内容が2017年版では付属書A扱いとなり、その代わり他ISO規格と同様のマネジメントシステムに関する要求事項を記載した本文が新たに設けられています。
今回はその「本文」において規定されている条文のうち、「箇条4.組織の状況」について詳しく解説していきます。
「箇条4.組織の状況」ですが、以下4つの細分箇条から構成されています。
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 個人情報保護マネジメントシステムの適用範囲の決定
4.4 個人情報保護マネジメントシステム

では、それぞれの条文を詳しく見ていきましょう。
※『』内は条文の引用
『4.1 組織及びその状況の理解
組織は、組織の目的に関連し、かつ、その個人情報保護マネジメントシステムの意図した成果を達成する組織の能力に影響を与える、外部及び内部の課題を決定しなければならない
4.2 利害関係者のニーズ及び期待の理解
組織は、次の事項を決定しなければならない
a)個人情報保護マネジメントシステムに関連する利害関係者
b)その利害関係者の、個人情報保護に関連する要求事項
注記)利害関係者の要求事項には、法的及び規制の要求事項並びに契約上の義務を含めてもよい
4.3 個人情報保護マネジメントシステムの適用範囲の決定
組織は、個人情報保護マネジメントシステムの適用範囲を定めるために、その境界及び適用可能性を決定しなければならない。
a)4.1に規定する外部及び内部の課題
b)4.2に規定する要求事項
c)組織が実施する活動と他の組織が実施する活動との間のインターフェイス及び依存関係
個人情報保護マネジメントシステムの適用範囲は、文書化した情報として利用可能な状態にしておかなければならない
4.4 個人情報保護マネジメントシステム
組織は、この規格の要求事項に従って、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、継続的に改善しなければならない』

このように、個人情報保護マネジメントシステムを組織に適用するのあたっての基本的な事項が規定されています。なお、条文を見ていただくとわかる通り、この内容はISMSの審査基準である「ISO27001:2013(情報セキュリティマネジメントシステム)」の本文とほぼ同様であり、情報セキュリティマネジメントシステムを個人情報保護マネジメントシステムと置き換えただけに過ぎません。
従って、ISO27001に精通した担当者の方であればすっと頭に入ってくることでしょう。しかし、これまでPマークを少しかじっただけという担当者の方にとっては非常に理解に苦しむ条文であることは間違いありません。
この条文を見慣れない方のために、箇条4.組織の状況において注意すべきこと以下短くまとめてみました。
1)外部及び内部の課題について
ここでいう「外部」とは、法律などの法的要求や新しい技術の発展、個人情報保護マネジメントシステムを運用するインフラの変更などが挙げられます。同様に「内部」とは担当者の人事異動による変更や組織変更、職掌変更などが挙げられます。これらの要因によって生じる課題を4.1で規定し、4.3によって文書化した情報へ落とし込む必要があるということです。
2)利害関係者について
利害関係者とは一般的に取引先、購買・外注先、従業員などが該当します。ただし、個人情報保護マネジメントシステムにおいては収集した個人情報対象者も利害関係者となります。保護すべき個人情報とその個人情報によって利害が発生する関係者が何を求めていて、何を期待しているのかを把握した上で4.2に規定された要求事項を決定しなければなりません。
3)適用範囲について
個人情報保護マネジメントシステムを組織内外のどこまで適用するかという境界線を定めなければなりません。個人情報を全く扱わない組織(部署)にまで適用すると手間やコスト面で損失が発生するケースもあります。適用範囲をしっかりと規定し、適用範囲外には決して個人情報を扱わせないといったオペレーションが求められます。

このとおり、箇条4.組織の状況はJISQ15001の運用に関して非常に重要な事項が規定されている箇所になります。内容をしっかりと理解し、自社の個人情報保護マネジメントシステムへ適切にフィードバックするよう心がけましょう。

Category: ISO