■構築・運用指針と新たな審査基準の適用について
https://privacymark.jp/system/guideline/outline.html



内容を見ると、以前の基準と比べかなりの変更点があることがわかります。

例えば、運用面において、外部・内部課題の特定では、いくつかの観点から洗い出すことを求めて
おり、安全管理措置では、漏えいした場合の権利利益侵害の大きさを考慮して、安全管理措置を講じることを求めています。

また、学術研究目的で行う場合の追加、仮名個人情報、個人関連情報という用語の追加等、さらには文言自体の多くの微調整もあって、より複雑・難解化していると感じます。

■現行基準と新基準の対照表
https://privacymark.jp/system/guideline/pdf/pm_shishin_taisyo20220214.pdf


このように、複雑・難解化してきますと、一部の者だけが理解できるものとなり、何のためのものであるのかがわからないものとなりかねません。

そうならないように、すべて一律の基準で審査を行うのではなく、保有する個人情報の量や質、利活用の状況等に応じて、組織によっては、部分的に要求事項の適用除外を宣言できるなどしていかないと、受審組織だけでなく、審査をする方も大変かと思います。

これに基づいた審査は、まだ始まっていないので、実際はどうなるかわかりませんが、組織における対応の差（理解の差）はかなり大きく出ることが予想されます。

プライバシーマーク制度の目的は、適切な個人情報の取り扱いを推進することですが、はたして、今回の指針が、どの程度、目的に貢献していくのかは今後の課題であると感じます。