この物語は、Pマーク事務局に配属された「みならい君」が、上司や先輩に指導を受けながら自社のPMS移行対応に取り組む物語です。
プライバシーマークの審査基準である「JIS Q 15001」が2017年12月20日に改訂されました。
この物語は、Pマーク事務局に配属された「みならい君」が、上司や先輩に指導を受けながら、自社のPMS(個人情報保護マネジメントシステム)の仕組みを、その新規格(JIS Q 15001:2017)に対応させる作業の過程を描きます。
読者の皆様には、この連載を通じて、改訂版規格であるJIS Q 15001:2017の要求事項の意図や、新規格への対応のポイントをご理解いただき、お役立ていただければ幸いです。
第1回 JIS Q 15001改訂の概要
なるほど!PMS規格改訂の背景とポイント
みならい君が所属する会社では2006年にプライバシーマークを取得しており、次回の更新審査ではJIS Q 15001:2017をベースにした、新しい審査基準による審査を受審することが決まっています。
第1回目となる今回のテーマは、PMS(個人情報保護マネジメントシステム)の規格要求事項であるJIS Q 15001:2017の概要です。
今回、Pマーク事務局に配属されました、みならいです!
私は事務局のゆかりです。これからよろしくお願いします。
みならい君、ようこそ。これから事務局メンバーとして、よろしく頼むね。うちの会社はこれから、個人情報保護マネジメントシステム(PMS)の移行対応が大きなミッションだけど、外部のセミナーを受けてみて、どうだった?
はい、実のところ、僕にはまだまだ難しかったです。。。これからもっと勉強していきます。
わたしも少し前に同様のセミナーを受けて、いろいろな情報を聞けて良かったのですが、新しい規格要求事項の内容はまだしっかり理解できていないです。
これから一緒に理解を深めていこう。まずは規格がなぜ変わったのか、背景を理解しておくと、どこが変わったのか、どう対応するかも理解しやすくなると思うよ。
今回の改訂は、やっぱり個人情報保護法が改正されたことが背景なのですか?
もちろん保護法が改正されたことは大きな影響だけど、本来JIS規格はJIS法に基づいて、5年ごとに見直しされる決まりなんだ。
そうなんですね!ということは、2011年にも見直しされてたんですか?
そうだよ。JIS Q 15001が、2006年に大幅改定されたのはゆかりさんも知っているね。
はい。その時に個人情報保護法が反映されたと聞きました。
そう、それから5年後の2011年にも見直しされて、内容の変更は行わない「確認」という処置を取られたので、規格書の解説が少し変化しただけだったんだ。
そうだったんですね。では今回もJIS法による見直しが行われて・・・
その結果、改正個人情報保護法が反映されたんですね!
そうだね(笑)。では、みならい君、セミナーで聞いてきた内容を簡単に説明してもらえるかな?
はい!今回の改訂では、附属書SLが導入されて、改正個人情報保護法の反映があって、附属書Aができて・・・あれ?附属書SLと附属書Aってどう違うんだっけ・・・。分かったようで分かってなかったです。
附属書SLって、ISMSとかで採用されている、規格要求事項の構成のことですよね。
さすがゆかりさん。よく知っているね。附属書SLは、ISOのマネジメントシステム規格を発行する際に適用されるフレームワークで、PDCAを標準化した本文構成を指すんだ。今回JIS Q 15001:2017にも導入されて、規格書の本文はISMSそっくりになったんだよ。
思い出しました。確か、箇条4から箇条10の構成で、他の規格と共通の「目次」と「本文テキスト」でできているんですよね。
ではその構成を一度確認してみよう。
まず、JIS Q 15001:2017の箇条4から箇条10の目次は、このような構成になっている。現在新規発行されたり、改訂されるISOマネジメントシステム規格の要求事項は、基本的にこの構成が取られているんだよ。
これを、PDCAサイクルの形にあてはめるとこのような見方ができる。
なるほどー。この図のようになっているとわかりやすいですね!
あれ?JIS Q 15001の2006年版で本文に書かれていた要求事項はどうなったんですか・・・?
そう、旧JIS規格では本文の中にPMS(個人情報保護マネジメントシステム)の要求事項が並んでいたけど、この附属書SLを導入したことによって、本文の中ではなく、「附属書A」として、管理目的と管理策がまとめられたんだ。
<JIS Q 15001:2017の構成>
①本文(附属書SLの構成が導入された)
②附属書A(旧JISの要求事項と相対する形で、管理目的と管理策をまとめたもの)
③附属書B(附属書Aの管理策に関する補足)
④附属書C((参考)安全管理措置に関する管理目的と管理策=ISMSの附属書Aと同じ)
⑤附属書D(新旧対応表)
みならい君。旧JISから新JISに改訂された背景は理解できたかな?
はい。
・JIS法による改訂
・附属書SLの導入
・改正個人情報保護法の反映
という背景があって、JIS Q 15001:2017に改訂されたと理解しました!
そうだね。では最後に、改訂対応のステップを整理しておこうか。ゆかりさん、お願いできるかな?
はい!私の理解ですと、
・JIS Q 15001改訂の背景を理解すること
・規格要求事項の変更点や追加点を理解し、既存の基本規程を見直すこと
・追加、削除、変更された附属書Aの管理目的と管理策に基づき、既存のリスクアセスメント結果や個人情報保護の管理策を見直すこと
・移行審査の計画を立て、受審すること
だと思っていますが、いかがでしょうか?
うん、よく理解できているね!今回、JIS Q 15001の改訂の背景が整理できたので、次のミーティングでは、規格要求事項の変更点や追加点を理解するために、新しい規格要求事項の「本文」について詳しく見てみようか。
次の連載では、JIS Q 15001:2017の規格要求事項の「本文」について解説します。お楽しみに!