Pマーク(プライバシーマーク)JISQ15001更新

 

Pマーク改正ポイント1 Pマーク改正ポイント2 Pマーク改正ポイント3
Pマーク改正ポイント4 Pマーク改正ポイント5 Pマーク改正ポイント6

 

Pマーク(プライバシーマーク)は、有効期間は2年間と
なっており、更新申請は、有効期間の終了する8ヶ月前から
4ヶ月前までに行わなければなりません。

Pマーク(プライバシーマーク)での審査基準である、
JISQ15001は、2017年12月20日に、JISQ15001:2017として、
改正されました。

その改正により、Pマークの付与事業者は、
Pマークの更新にあたって、新規格(JISQ15001:2017)への
対応が必要となっています。

JISQ15001は、新規格(JISQ15001:2017)となり、
大きく変わりました。

そのため、Pマーク更新において、手間が生じています。

Pマーク更新申請において、
外部のサポートに頼らず、自社で対応できるように、
新規格(JISQ15001:2017)への更新審査対応ポイントを
記した資料を無料配付しております。

※上記掲載のものは一部抜粋です。


↓↓↓↓↓
お申し込み(お問い合わせ)は、
お問い合わせのご質問(ご要望)に、「Pマーク2017改正資料希望」と
明記ください。

※新規格(JISQ15001:2017)への対応のための
具体的な作成を要する文書のサンプルも提供しています。  

こちらもお気軽にお問い合わせください。

Pマーク(プライバシーマーク)JISQ15001:2017改正情報

Pマーク改正スケジュール2

 

 Pマーク(プライバシーマーク)は、有効期間は2年間と
なっており、2年毎に行う制度で、更新申請は、有効期間の
終了する8ヶ月前から4ヶ月前までに行わなければなりません。

今回、プライバシーマークの要求事項であるJISQ15001は、
改正個人情報保護法を受け、法令との内容の整合性を図るために、
2017年12月20日に、JISQ15001:2017として、改正されました。

JIS Q 15001:2006(旧規格)に基づく新規認証のための審査は
終了し、Pマークを更新する事業者に限って、旧規格での審査は
受けることができますが、2018年1月22日から2020年7月31日まで
の間で1回のみに限られます。

また、旧規格で受審した場合、新規格への未対応の箇所は継続的改善
事項に準ずる指摘となり、次回の更新審査までに対応する必要が
ありますので、新規格への備えは、前もって必要です。

新規格へは、2020年7月31日までに移行を完了させなければ
ならず、なるべく早い段階で、新基準(JISQ15001:2017)への
対応が必要です。

Pマーク(JISQ15001:2017)改正情報を下記の項目に従って、
わかりやすく解説しています。

また、外部のサポート入らずで、自社ですぐに対応できるように、
具体的な文書のサンプルも販売しています。

お気軽にお問い合わせください。


Pマーク(プライバシーマーク)JISQ15001:2017改正情報のコンテンツ

1.主な改正点は何か?
2.旧規格との用語の変更点
3.新規格(JISQ15001:2017)の仕組みとは?
4.改正において具体的に対応すべきこと
5.改正にあたっての具体的な文書対応

JISQ15001:2006からの主な改正点

JIS15001改正点

 

JISQ15001:2006からの
主な改正点は、8つあります。

特に、一つの目の改正点は、JISQ27001:2014(情報
セキュリティマネジメントシステム)を参考にして、
改正されており、単に個人情報保護という知識に対応するだけ
でなく、マネジメントシステムとして仕組みを
構築することがさらに明確化されました。

Pマーク(プライバシーマーク)2017改正における、
具体的な仕組み構築の対応方法としては、以下が必要です。

1.文書化(ルール化)
新規格(JISQ15001:2017)に対応した文書化

2.改訂したルールに基づく運用
・リスクアセスメント対応
個人情報保護目標の設定
・教育の実施
・内部監査の実施
・マネジメントレビューの実施
 

JISQ15001:2017の改正において具体的に対応すべきこと

JISQ15001具体的な対応

 

JISQ15001:2017の改正において、現場の運用において、
具体的に対応すべきことは以下になります。


1.個人情報管理台帳の整備

個人情報管理台帳の項目へ少なくとも以下の項目が
含まれていることが必要で、赤字が今回、追加となりました。

・個人情報の項目
・利用目的
・保管場所
・保管方法
・アクセス権を有する者
・利用期限
保管期限

「利用期限」は、個人情報の利用の期限、「保管期限」は、
個人情報を保管する期限となり、利用が終了すると同時に
保管も終了し消去する場合には、利用期限と保管期限が同じ
となります。※期限は、具体的な期日でなくてもよい。

ちなみに、個人情報管理台帳の主旨は、1件の漏れもなく管理
していることの証明ではなく、個人情報の取扱い状況を把握
することにあります。


2.従業員への教育

従業員への教育は、以下の赤字が今回、追加となりました。

個人情報保護方針
・個人情報保護マネジメントシステムに適合することの重要性及び利点
・個人情報保護マネジメントシステムに適合するための役割及び責任
・個人情報保護マネジメントシステムに違反した際に予想される結果

今回の改正で、個人情報保護方針は、内部向け個人情報保護方針と
外部向け個人情報保護方針を規程しているが、一つにしてもかまいません。


3.運用の確認

日常的な運用を定期的及び適宜確認し、個人情報管理責任者は
トップマネジメント(社長)に報告することが必要です。

運用は、外部に委託するのではく、あくまでも自社で行っていくことが
原則となります。


4.委託契約に盛り込む事項

委託契約書には、契約終了後の個人データに関しての対応を明確に記載
しておくことが必要です。

また、委託先選定基準には、自社と同等以上の保護水準にあることを
客観的に確認できることを含めることとありますので、客観的に確認
できること(PマークやISOを取得している等)を自社で決定する必要が
あります。


5.共同利用における契約

共同利用があれば、共同して利用する者の間で、共同利用についての
契約を定めることが必要です。
 

旧規格(JISQ15001:2006)との用語の変更点

JISQ15001用語変更1

 

JISQ15001用語変更2

 

主な用語の変更は、16あります。

JISQ27001:2014(情報セキュリティマネジメントシステム)の
規格に対応するように変更されました。

必要に応じて、作成した文書に反映させる必要があります。
 

JISQ15001:2017とJISQ15001:2006対応表


今回、JISQ15001規格が大幅に改正されています。
本文への対応が一つのポイントとなります。

対応していない箇所は、何らかの文書化が必要となります。
     

以下、JISQ15001:2017とJISQ15001:2006対応表を
記します。
 

 

新規格(JISQ15001:2017(本文)) 旧規格(JISQ15001:2006(本文))
4.組織の状況
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 個人情報保護マネジメントシステムの適用範囲の決定 1.適用範囲
4.4 個人情報保護マネジメントシステム 3.1 一般要求事項
5.リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2 方針 3.2 個人情報保護方針
5.2.1 内部向け個人情報保護方針 3.2 個人情報保護方針
5.2.2 外部向け個人情報保護方針 3.2 個人情報保護方針
5.3 組織の役割、責任及び権限 3.3.4 資源、役割、責任及び権限
6.計画 3.3 計画
6.1 リスク及び機会に対処する活動
6.1.1 一般
6.1.2 個人情報保護リスクアセスメント 3.3.3 リスクなどの認識、分析及び対策
6.1.3 個人情報保護リスク対応
6.2 個人情報保護目的及びそれを達成するための計画策定
7.支援 3.3.4 資源、役割、責任及び権限
7.1 資源 3.3.4 資源、役割、責任及び権限
7.2 力量
7.3 認識 3.4.5 教育
7.4 コミュニケーション
7.5 文書化した情報  3.3.5 内部規程
3.5 個人情報保護マネジメントシステム文書
8.運用 3.4 実施及び運用
8.1 運用の計画及び管理 3.3.6 計画書
8.2 個人情報保護リスクアセスメント 3.4.1 運用手順
8.3 個人情報保護リスク対応 3.4.1 運用手順
9.パフォーマンス評価 3.7 点検
9.1 監視、測定、分析及び評価
9.2 内部監査 3.7.2 監査
9.3 マネジメントレビュー 3.9 事業者の代表者による見直し
10.改善 3.8 是正処置及び予防処置
10.1 不適合及び是正処置 3.8 是正処置及び予防処置
10.2 継続的改善 3.1 一般要求事項


※旧規格(JISQ15001:2006(本文))にあった、

3.3.1 個人情報の特定
3.3.2 法令、国が定める指針その他の規範事項
3.3.7 緊急事態への準備
3.4.2 取得、利用及び提供に関する原則
3.4.3 適正管理
3.4.4 個人情報に関する本人の権利
3.6 苦情及び相談への対応

新規格(JISQ15001:2017(本文))では、※附属書Aに移行しています。

※附属書Aは、旧規格(JISQ15001:2006(本文))を継承したもの。

新規格(JISQ15001:2017)の構造

新規格(JISQ15001:2017)は、本文と附属書で構成されます。
以下、その内容と改正にあたっての対応を記します。

 

新規格本文 JISQ27001:2014に対応したもの 文書化は必須
附属書A 旧規格(JISQ15001:2006(本文))を継承したもの。 文書化は必須
附属書B 附属書Aの解説
附属書C JISQ27002:2014に対応したもの(適宜、選択するもの) 選択したものは文書化は必要
附属書D 新旧規格の対応表

JISQ15001:2017の仕組み

JISQ15001の仕組み2017

 

今回の改正において、JISQ15001の要求事項が
大幅に変更となりました。

既に先行してある、JISQ27001:2014(情報セキュリティ
マネジメントの要求事項)を参考にして改正されました。

PDCAを明確にした仕組みとなっており、
特に、計画面がボリュームアップしています。

ISO27001を取得している組織にとっては、改正対応は、
難しくないと思われますが、そうでない組織にとっては、
規格内容のボリュームが増え、移行がスムーズにいかない
こともあるかもしれません。
 

プライバシーマーク(Pマーク)の文書体系

PMS文書体系図

 

JIS Q 15001:2017(新基準)に基づく、
プライバシーマーク(Pマーク)の文書体系をどのように
対応していけばよいのか、というのが一つの関門と
なっております。

1.個人情報保護基本規程
2.文書管理規定
3.個人情報取り扱い規定
4.安全管理規定
5.事故・緊急時対応規定
6.内部監査規定
7.個人情報保護管理策運用規定
8.様式集(各種様式をまとめたフォーム集)

上記は、一つの例であり、
1で示しているJIS Q 15001:2017(本文)の要求事項を
満たした文書の名称は、「個人情報保護マニュアル」として
よいですし、このことは、実際の審査やJIS Q 15001:2017の
規格では特に定めていません。

7で示している文書は、JISQ15001:2017年版の附属書Aに
対応した文書です。
(旧規格での最上位文書)


個人情報保護基本規程(Pマークサンプルマニュアル)は、
サンプル文例として有償提供を行っております。※文書審査で検証済み

※他の文書(上記2〜7)も有償提供を行っております。
お気軽にお問い合わせください。


個人情報保護基本規程(Pマークサンプルマニュアル)