この物語は、Pマーク事務局に配属された「みならい君」が、上司や先輩に指導を受けながら自社のPMS移行対応に取り組む物語です。
プライバシーマークの審査基準である「JIS Q 15001」が2017年12月20日に改訂されました。
この物語は、Pマーク事務局に配属された「みならい君」が、上司や先輩に指導を受けながら、自社のPMS(個人情報保護マネジメントシステム)の仕組みを、その新規格(JIS Q 15001:2017)に対応させる作業の過程を描きます。
読者の皆様には、この連載を通じて、改訂版規格であるJIS Q 15001:2017の要求事項の意図や、新規格への対応のポイントをご理解いただき、お役立ていただければ幸いです。
第1回 JIS Q 15001改訂の概要
なるほど!PMS規格改訂の背景とポイント
みならい君が所属する会社では2006年にプライバシーマークを取得しており、次回の更新審査ではJIS Q 15001:2017をベースにした、新しい審査基準による審査を受審することが決まっています。
第1回目となる今回のテーマは、PMS(個人情報保護マネジメントシステム)の規格要求事項であるJIS Q 15001:2017の概要です。
みならい君
今回、Pマーク事務局に配属されました、みならいです!
ゆかり先輩
私は事務局のゆかりです。これからよろしくお願いします。
あきら常務
みならい君、ようこそ。これから事務局メンバーとして、よろしく頼むね。うちの会社はこれから、個人情報保護マネジメントシステム(PMS)の移行対応が大きなミッションだけど、外部のセミナーを受けてみて、どうだった?
みならい君
はい、実のところ、僕にはまだまだ難しかったです。。。これからもっと勉強していきます。
ゆかり先輩
わたしも少し前に同様のセミナーを受けて、いろいろな情報を聞けて良かったのですが、新しい規格要求事項の内容はまだしっかり理解できていないです。
あきら常務
これから一緒に理解を深めていこう。まずは規格がなぜ変わったのか、背景を理解しておくと、どこが変わったのか、どう対応するかも理解しやすくなると思うよ。
みならい君
今回の改訂は、やっぱり個人情報保護法が改正されたことが背景なのですか?
あきら常務
もちろん保護法が改正されたことは大きな影響だけど、本来JIS規格はJIS法に基づいて、5年ごとに見直しされる決まりなんだ。
みならい君
そうなんですね!ということは、2011年にも見直しされてたんですか?
あきら常務
そうだよ。JIS Q 15001が、2006年に大幅改定されたのはゆかりさんも知っているね。
ゆかり先輩
はい。その時に個人情報保護法が反映されたと聞きました。
あきら常務
そう、それから5年後の2011年にも見直しされて、内容の変更は行わない「確認」という処置を取られたので、規格書の解説が少し変化しただけだったんだ。
ゆかり先輩
そうだったんですね。では今回もJIS法による見直しが行われて・・・
みならい君
その結果、改正個人情報保護法が反映されたんですね!
あきら常務
そうだね(笑)。では、みならい君、セミナーで聞いてきた内容を簡単に説明してもらえるかな?
みならい君
はい!今回の改訂では、附属書SLが導入されて、改正個人情報保護法の反映があって、附属書Aができて・・・あれ?附属書SLと附属書Aってどう違うんだっけ・・・。分かったようで分かってなかったです。
ゆかり先輩
附属書SLって、ISMSとかで採用されている、規格要求事項の構成のことですよね。
あきら常務
さすがゆかりさん。よく知っているね。附属書SLは、ISOのマネジメントシステム規格を発行する際に適用されるフレームワークで、PDCAを標準化した本文構成を指すんだ。今回JIS Q 15001:2017にも導入されて、規格書の本文はISMSそっくりになったんだよ。
みならい君
思い出しました。確か、箇条4から箇条10の構成で、他の規格と共通の「目次」と「本文テキスト」でできているんですよね。
あきら常務
ではその構成を一度確認してみよう。
まず、JIS Q 15001:2017の箇条4から箇条10の目次は、このような構成になっている。現在新規発行されたり、改訂されるISOマネジメントシステム規格の要求事項は、基本的にこの構成が取られているんだよ。
まず、JIS Q 15001:2017の箇条4から箇条10の目次は、このような構成になっている。現在新規発行されたり、改訂されるISOマネジメントシステム規格の要求事項は、基本的にこの構成が取られているんだよ。
あきら常務
これを、PDCAサイクルの形にあてはめるとこのような見方ができる。
みならい君
なるほどー。この図のようになっているとわかりやすいですね!
ゆかり先輩
あれ?JIS Q 15001の2006年版で本文に書かれていた要求事項はどうなったんですか・・・?
あきら常務
そう、旧JIS規格では本文の中にPMS(個人情報保護マネジメントシステム)の要求事項が並んでいたけど、この附属書SLを導入したことによって、本文の中ではなく、「附属書A」として、管理目的と管理策がまとめられたんだ。
<JIS Q 15001:2017の構成>
①本文(附属書SLの構成が導入された)
②附属書A(旧JISの要求事項と相対する形で、管理目的と管理策をまとめたもの)
③附属書B(附属書Aの管理策に関する補足)
④附属書C((参考)安全管理措置に関する管理目的と管理策=ISMSの附属書Aと同じ)
⑤附属書D(新旧対応表)
ゆかり先輩
これで新JISの大体の構成が理解できました。
あきら常務
みならい君。旧JISから新JISに改訂された背景は理解できたかな?
みならい君
はい。
・JIS法による改訂
・附属書SLの導入
・改正個人情報保護法の反映
という背景があって、JIS Q 15001:2017に改訂されたと理解しました!
・JIS法による改訂
・附属書SLの導入
・改正個人情報保護法の反映
という背景があって、JIS Q 15001:2017に改訂されたと理解しました!
あきら常務
そうだね。では最後に、改訂対応のステップを整理しておこうか。ゆかりさん、お願いできるかな?
ゆかり先輩
はい!私の理解ですと、
・JIS Q 15001改訂の背景を理解すること
・規格要求事項の変更点や追加点を理解し、既存の基本規程を見直すこと
・追加、削除、変更された附属書Aの管理目的と管理策に基づき、既存のリスクアセスメント結果や個人情報保護の管理策を見直すこと
・移行審査の計画を立て、受審すること
だと思っていますが、いかがでしょうか?
・JIS Q 15001改訂の背景を理解すること
・規格要求事項の変更点や追加点を理解し、既存の基本規程を見直すこと
・追加、削除、変更された附属書Aの管理目的と管理策に基づき、既存のリスクアセスメント結果や個人情報保護の管理策を見直すこと
・移行審査の計画を立て、受審すること
だと思っていますが、いかがでしょうか?
あきら常務
うん、よく理解できているね!今回、JIS Q 15001の改訂の背景が整理できたので、次のミーティングでは、規格要求事項の変更点や追加点を理解するために、新しい規格要求事項の「本文」について詳しく見てみようか。
ゆかり先輩
はい!
みならい君
はい!よろしくお願いします。
次の連載では、JIS Q 15001:2017の規格要求事項の「本文」について解説します。お楽しみに!