JISQ15001「箇条8.運用」について

2018年6月23日

前回に引き続きJISQ15001本文に関する注意事項について解説いたします。改訂された2017年版JISQ15001は、HLS(ハイレベルストラクチャー)の採用により本文が他ISO規格と共通の章立てとなり、旧版における本文が付属書扱いとなっていることは前回お伝えいたしました。従って、今回対象となる「箇条8.運用」も他のISO規格とほぼ同じ文面となっており、一部の語句が個人情報保護に関する用語に置き換えられているという感じです。

では具体的に条文を見ておきましょう。
※『』内は条文の引用
『8.1運用の計画及び管理
組織は、個人情報保護要求事項を満たすため、及び6.1で決定した活動を実施するために必要なプロセスを計画し、実施し、かつ管理しなければならない。また組織は、6.2で決定した個人情報保護目的を達成するための計画を実施しなければならない。
組織は、プロセスが計画通りに実施されたという確信を持つために必要な程度の、文書化した情報を保持しなければならない。
組織は、計画した変更を管理し、意図しない変更によって生じた結果をレビューし、必要に応じて、有害な影響を軽減する措置をとらなければならない。
組織は、外部委託したプロセスが決定され、かつ、管理されていることを確実にしなければならない。
8.2個人情報保護リスクアセスメント
組織は、あらかじめ定めた間隔で、または重大な変更が提案されたかもしくは重大な変化が生じた場合に、6.1.2で確立した基準を考慮して、個人情報保護リスクアセスメントを実施しなければならない。
8.3個人情報保護リスク対応
組織は、個人情報保護リスク対応計画を実施しなければならない。
組織は、個人情報保護リスク対応結果の文書化した情報を保持しなければならない。』

HLS(ハイレベルストラクチャー)によって共通化した影響により、具体的な「運用」にはほとんど触れず概念的な表現に終始している印象ですね。またそれぞれの文章も、他のISOにて使われている文章の文言を「個人情報保護」に置換しているだけではないかという感じです。「個人情報保護目的を達成するための計画を実施しなければならない」という文言などは何を言いたいのか頭が混乱してしまいそうです。8.3などはその典型で、対応計画を実施しなければならない、対応結果の文書化した情報を保持しなければならないなどといった、わざわざ条文化するほどでもないと思えるような内容です。
ただし、他の条文と同様に、個人情報保護に関する具体的な運用方法や基準などは付属書Aに記載されています。従って、各担当者においては、本文よりも付属書をじっくりと読み込み理解することが求められますね。付属書Aの「3.4実施及び運用」は非常にボリュームが多く、要配慮の個人情報や個人情報を取得した場合の措置など、実際の運用場面における規定はこちらで条文化されています。旧版の本文に該当する内容となっているため、こちらの方が理解しやすいという担当者も多いことでしょう。
一方、Pマーク担当者が他ISO規格担当者も兼任している場合、今回の改正は非常にわかりやすいものになったということもできます。他ISO規格条文と共通項が多く、文書化する内容などもある程度定型化できるため社内リソースの削減にもつながりますね。

Category: ISO