catch-img

JISQ15001:2017におけるPマーク審査の4つのポイント

アララ株式会社 P-Pointerチーム

昨年の個人情報保護法改正を踏まえて、11年ぶりに「JIS Q 15001」の規格が「JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項 」に改定されました。それに伴いJIS Q 15001を基準としているPマークの審査基準も変更となり、2018年8月1日から適用が開始されます。そして2年後の2020年7月31日までに、取得事業者は新規格への移行が求められます。


目次[非表示]

  1. 1.新審査基準の4つのポイント
    1. 1.1.【ポイント①】改正個人情報保護法への対応
    2. 1.2.【ポイント②】個人情報の管理台帳に追記が必要な項目
    3. 1.3.【ポイント③】従業者の教育に追記が必要な項目
    4. 1.4.【ポイント④】運用の確認
  2. 2.移行準備期間は2年!
    1. 2.1.運転免許証番号・要配慮個人情報を高速検索「P-Pointer」


新審査基準の4つのポイント

次回の更新までに取得事業者の担当者がどのような対応を求められるか、Pマーク審査の4つのポイントをお伝えします。

弊社のPマーク担当へのインタビュー記事もご用意しています。ぜひあわせてご覧ください。

  Pマーク担当者に聞く!「任命されてから何をした?」~アララの場合~(前編) Webサイトを検索したり、公式テキストを読んだり、自身で調べながら個人情報管理の知識を深め、業務にあたっている方も多いと思います。そこで、今回は、弊社Pマーク担当者に「担当になってまず何をしたか」や「作業を進めるにあたり苦労していること」などをインタビューしました。 P-Pointer
  Pマーク担当者に聞く!「任命されてから何をした?」~アララの場合~(後編) 前編では、弊社Pマーク担当が「任命後に何をおこなったのか」や「どんな点に苦労しているか」などをご紹介しました。後編では、Pマークの取得にあたって「コンサルティング会社に依頼したほうが良いのか」、また「運用する上で工夫した点」などについてご紹介します。 P-Pointer


【ポイント①】改正個人情報保護法への対応

今回の規格改正では、2017年に施行開始された改正個人情報保護法で見直された項目が一部盛り込まれています。法改正に伴って、以下の項目がPマーク審査基準に盛り込まれました。

  • 要配慮個人情報の取扱い
    「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実」等の情報が、新たに「要配慮個人情報」というカテゴリで個人情報として区分されました。Pマーク審査において要配慮個人情報は、従来の「特定の機微な個人情報」と同様に取り扱う必要があります。

  • 個人データ消去の努力義務の追加
    不必要になった個人データは遅滞なく削除する努力義務が課せられました。Pマーク取得事業者は保管期限が過ぎた個人情報は消去し、消去の内容の記録を取らなくてはなりません。

  • オプトアウト規制の強化
    個人情報取得時の但し書きの規格が変更されました。Pマーク取得事業者が但し書きを通知文書や規定に記載している場合には、表記の修正が求められます。

  • 外国事業者への第三者提供
    項目が新設されました。事前に本人の同意を得ていない場合における外国の第三者事業者への個人情報提供は、基本的に認められておりません。Pマーク取得事業者は、外国事業者への第三者提供が想定されるのであれば、規定の見直しが必要です。ただし、外国にある自社支店や駐在員事務所への提供はこの限りではありません。

  • トレーサビリティの確保
    第三者との個人情報の提供・受け取りは、記録が必須となりました。Pマーク審査においても同様に、個人情報の授受の際は記録の作成が必要です。

  • 匿名加工情報の取扱
    近年ビックデータビジネスで主に活用されている「匿名加工情報」が項目が新設されました。これは「個人情報を、特定の個人が識別できないように加工した個人に関するデータ」を指します。Pマーク取得事業者は、新設された匿名加工情報をどのように扱うか方針を決める必要があり、扱う場合には指定された手順に従った規定を作成する必要があります。

\Pマーク審査の準備は個人情報の所在把握から/


【ポイント②】個人情報の管理台帳に追記が必要な項目

新たなPマーク審査基準では、上記の「改正個人情報保護法における個人データ消去の努力義務の追加」に基づき、台帳に記載すべき項目として「個人情報の保管期限」が追加されました。

また、個人情報の特定・見直しの頻度が明確化され、台帳の内容を少なくとも年に一回の適宜な確認と、最新の状態での維持が求められます。


【ポイント③】従業者の教育に追記が必要な項目

新しい規格では、従業者に対して「個人情報保護方針」を認識させる必要があります。従業者向けの教育の内容に「個人情報保護方針」が含まれているか否かが、審査の対象となります。


【ポイント④】運用の確認

従来の規格で定義されていた年一回の内部審査とは異なる、「日常的な運用確認」が新たに追加されました。管理者は日常業務の点検を定期的に実施し、気付いた点は適宜代表者へ報告する必要があります。


移行準備期間は2年!

次回の更新までに取得事業者の担当者がどのような対応を求められるかおわかりいただけましたでしょうか。

今回の移行期間は2018年8月1日から2020年7月31日までの2年間です。2年という期間はありますが更新完了の期日までに移行をするとなると、ある程度余裕をもって計画的に進めた方が良いでしょう。


運転免許証番号・要配慮個人情報を高速検索「P-Pointer」

弊社が提供する個人情報検出・管理ソリューション「P-Pointer」は、人名、住所、メールアドレスのほか、個人情報保護法改正にて個人識別符号として定義されたマイナンバーや、運転免許証番号、要配慮個人情報を高速で検索します。ファイルサーバやPCに保存されている個人情報を、漏れなく高速で検索・可視化した結果を出力することができるため、個人情報管理台帳にも活用することができます。



​​​​​​​\P-Pointerで個人情報管理台帳を作成している事例はこちら/


\自身のPCの個人情報を「無料体験版」でチェック/


—参考情報—

アララ株式会社 P-Pointerチーム
アララ株式会社 P-Pointerチーム
個人情報検出・管理の領域において、P-Pointerシリーズを15年以上販売してきたアララのP-Pointerチームがその知見を活かし、セキュリティに関する情報をお届けするブログです。 個人情報や企業の機密情報を様々な脅威から守るため、企業のセキュリティ担当者が押さえておくべきセキュリティの基本から、実際に取り組むべき具体的な施策まで、セキュリティ分野のお役立ち情報を発信します。 セキュリティ分野のブログを25本以上ご用意しておりますので、ぜひ貴社のセキュリティ対策にお役立てください。

前の記事

prev-article-image

改正個人情報保護法が5月末に全面施行! 複雑化する個人情報管理への企業の向き合い方

次の記事

next-article-image

年末年始の大掃除!今やるべき個人情報の管理

 

関連ブログ

 

CONTACT

個人情報の管理はP-Pointerにお任せください。
まずは無料のお試し版を体験しませんか?

お電話でのお問い合わせはこちら
03-5414-3611
平日10:00~18:00
ご不明な点はお気軽に
お問い合わせください
お問い合わせ
サービスのお役立ち資料を
ご用意しています
資料ダウンロード
無料体験版はこちらから
お申し込みください
無料体験版

人気ブログランキング

アララ株式会社_ヘッダーロゴ

アララ株式会社は、皆様からお預かりした個人情報はお客様の大切な財産であることを尊重し、お客様との信頼関係を損なうことのないよう、「プライバシーポリシー」に従って適切な個人情報の保護に努めています。

アララロゴ

アララ株式会社

東京都港区南青山2丁目24番15号 青山タワービル
TEL:03-5414-3611

キャッシュレス
valuedesign

メール配信サービス
arara message

データセキュリティ
P-Pointer

AR
​AR Service

QR code® 関連サービス
クルクル QRコードリーダー

QR code® 関連サービス
クルクル マネージャー

デジタルサイネージ
Cloudpoint

ページトップへ戻る

© arara Inc.