新着情報

セキュリティトピックス

JISQ15001:2017におけるPマーク審査の4つのポイント

こちらのイベントは終了しました

昨年の個人情報保護法改正を踏まえて、11年ぶりに「JIS Q 15001」の規格が
「JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項 」に改定されました。

それに伴いJIS Q 15001を基準としているPマークの審査基準も変更となり、2018年8月1日から適用が開始されます。そして2年後の2020年7月31日までに、取得事業者は新規格への移行が求められます。

次回の更新までに取得事業者の担当者がどのような対応を求められるか、大きなポイントを4つお伝えします。

 

  改正個人情報保護法への対応

今回の規格改正では、2017年に施行開始された改正個人情報保護法で見直された項目が一部盛り込まれています。法改正に伴って、以下の項目がPマーク審査基準に盛り込まれました。

 

  • 要配慮個人情報の取扱い
    「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実」等の情報が、新たに「要配慮個人情報」というカテゴリで個人情報として区分されました。
    Pマーク審査において要配慮個人情報は、従来の「特定の機微な個人情報」と同様に取り扱う必要があります。
  • 個人データ消去の努力義務の追加
    不必要になった個人データは遅滞なく削除する努力義務が課せられました。
    Pマーク取得事業者は保管期限が過ぎた個人情報は消去し、消去の内容の記録を取らなくてはなりません。
  • オプトアウト規制の強化
    個人情報取得時の但し書きの規格が変更されました。
    Pマーク取得事業者が但し書きを通知文書や規定に記載している場合には、表記の修正が求められます。
  • 外国事業者への第三者提供
    項目が新設されました。事前に本人の同意を得ていない場合における外国の第三者事業者への個人情報提供は、基本的に認められておりません。
    Pマーク取得事業者は、外国事業者への第三者提供が想定されるのであれば、規定の見直しが必要です。ただし、外国にある自社支店や駐在員事務所への提供はこの限りではありません。
  • トレーサビリティの確保
    第三者との個人情報の提供・受け取りは、記録が必須となりました。
    Pマーク審査においても同様に、個人情報の授受の際は記録の作成が必要です。
  • 匿名加工情報の取扱
    近年ビックデータビジネスで主に活用されている「匿名加工情報」が項目が新設されました。これは「個人情報を、特定の個人が識別できないように加工した個人に関するデータ」を指します。
    Pマーク取得事業者は、新設された匿名加工情報をどのように扱うか方針を決める必要があり、扱う場合には指定された手順に従った規定を作成する必要があります。

 

  個人情報の管理台帳に追記が必要な項目
新たなPマーク審査基準では、上記の「改正個人情報保護法における個人データ消去の努力義務の追加」に基づき、台帳に記載すべき項目として「個人情報の保管期限」が追加されました。
また、個人情報の特定・見直しの頻度が明確化され、台帳の内容を少なくとも年に一回の適宜な確認と、最新の状態での維持が求められます。

 

  従業者の教育に追記が必要な項目
新しい規格では、従業者に対して「個人情報保護方針」を認識させる必要があります。従業者向けの教育の内容に「個人情報保護方針」が含まれているか否かが、審査の対象となります。

 

  運用の確認
従来の規格で定義されていた年一回の内部審査とは異なる、「日常的な運用確認」が新たに追加されました。管理者は日常業務の点検を定期的に実施し、気付いた点は適宜代表者へ報告する必要があります。

 

■まとめ

次回の更新までに取得事業者の担当者がどのような対応を求められるかおわかりいただけましたでしょうか。
今回の移行期間は2018年8月1日から2020年7月31日までの2年間です。2年、という期間はありますが更新完了の期日までに移行をするとなると、ある程度余裕をもって計画的に進めましょう。

 

弊社が提供する個人情報検出ソフトP-Pointer は、人名、住所、メールアドレスの他、個人情報保護法改正にて個人識別符号として定義されたマイナンバーや、運転免許証番号、要配慮個人情報を高速で検索します。
(上記以外の情報は「ユーザ定義辞書機能」を用いて、文字パターンを登録して検索します)
ファイルサーバやPCに保存されている個人情報を、漏れなく高速で検索・可視化した結果を出力することができるため、個人情報管理台帳にも活用することができます。

ご興味のある方は、ぜひお問い合わせフォームより無料体験版をご利用ください。無料体験版は、手軽にご自身のPCの個人情報を洗い出すことができます。

 

(参考)
「改正個人情報保護法が5月末に全面施行! 複雑化する個人情報管理への企業の向き合い方」
http://ppointer.jp/news/other/kaiseikojinjyouhouhogo/
「プライバシーマーク付与適格性審査基準(JIPDEC)平成30年3月16日改定)
https://privacymark.jp/system/guideline/pdf/pm_shinsakijun.pdf

ページの先頭へ