JISQ15001「箇条6.計画」について

2018年5月15日

改訂された2017年版JISQ15001は、HLS(ハイレベルストラクチャー)の採用により本文が他ISO規格と共通の章立てとなり、旧版における本文が付属書扱いとなっています。つまり、個人情報取り扱いに関する具体的な取り組みは付属書によって規定されており、本文ではISO共通のマネジメントシステムについて触れているという形になります。

このような経緯があるため、本文と付属書との間には内容が重なっている部分が見受けられます。例えば今回ご紹介する本文の「箇条6計画」について。旧版の本文(今回の付属書A)にも「3.3計画」という条文があり、どちらもマネジメントシステム及び運用場面においての計画を策定することを要求しています。

従って、各担当者においてはこの2つの「計画」の内容に相違が生じないように配慮しなくてはなりません。

では具体的に条文を見ておきましょう。

※『』内は条文の引用

『6.1.1一般

6.1.1 個人情報保護マネジメントシステムの計画を策定するときには,組織は,4.1に規定する課題、および4.2に規定する要求事項を考慮し,次の事項のために対処する必要があるリスクおよび機会を決定しなければならない。

a) 個人情報保護マネジメントシステムがその意図した結果を達成できることを確実にする。

b) 望ましくない影響を防止又は軽減する。

c) 継続的改善を達成する。

組織は次の事項を計画しなければならない。

d)上記によって決定したリスク及び機会に対処する活動

e)次の事項を行う方法

 1)その活動の個人情報保護マネジメントシステムプロセスへの統合及び実施

 2)その活動の有効性の評価

6.1.2個人情報保護リスクアセスメント

組織は、次の事項を行う個人情報保護リスクアセスメントのプロセスを定め、適用しなければならない。

a)次を含む個人情報保護のリスク基準を確立し、維持する

 1)リスク受容基準

 2)個人情報保護リスクアセスメントを実施するための基準

b)繰り返し実施した個人情報保護リスクアセスメントに、一貫性及び妥当性があり、かつ、比較可能な結果を生み出すことを確実にする。

(中略)

組織は、個人情報保護に関する文書化した情報を保持しなければならない。

組織は個人情報保護目的をどのように達成するかについて計画するとき、次の事項を決定しなければならない。

(以下略)』

一通り条文を読んでみるとわかりますが、HLS(ハイレベルストラクチャー)によって共通化した弊害とでもいうべきか、非常にわかりにくい文章になっています。個人情報保護マネジメントシステムの運用やリスクについて「決めなければならない」と規定しているだけであり、何をどのように定めればよいかといった具体的なことが明記されていないのです。

過去において何かしらの形でISOに携わった担当者であればさほど抵抗は無いでしょうが、Pマークしか担当したことの無い担当者にとっては意味不明かもしれませんね。さらに付属書Aにも個人情報保護マネジメントシステムの計画に関する規定があるためさらに混乱してしまうことでしょう。

付属書Aの「3.3計画」においては、個人情報の特定やリスクアセスメント及びリスク対策などについて「少なくとも年1回、適宜に見直さなければならない」といった感じで具体的に規定されています。従って、まずは付属書Aの規定に従って個人情報保護マネジメントシステムの計画を行い、本文に照らし合わせながら策定するという手順が良いでしょう。

このように、2017年版JISQ15001においては条文構成の変更により混乱することが想定されます。Pマークの更新といった実際の運用場面においては、付属書と本文とを照らし合わせながら柔軟な対応を行う必要がありますね。

Category: ISO