1. 構築・運用指針の公表と審査基準の改定
2021年8月30日に一般財団法人日本情報経済社会推進協会(JIPDEC)のプライバシーマーク推進センターから「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針の公表および審査基準の改定について」が公表されました。
JIPDECが公表した改定に関する経緯は「JIS Q 15001:2017個人情報保護マネジメントシステム-要求事項」(以下、「JISQ15001」)に準拠した「プライバシーマーク付与適格性審査基準」(以下、「審査基準」)に基づく審査でヒアリングや取組みで確認する内容をわかりやすい形で明記するためと説明されており、「令和2年 改正個人情報保護法」の全面施行と同じ、2022年4月から適用されます。
改定された「審査基準」では、「JISQ15001」への適合性は新たに発行された「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」(以下、「構築・運用指針」)で審査することとなり、従来の「審査基準」に規定されていた審査項目は「構築・運用指針」に移る形となりました。
また、新たに発行された「構築・運用指針」には、従来の「審査基準」では不明確だった「JISQ15001」本文の内容が追加されています(図1)。これにより、「JISQ15001」が要求する個人情報保護マネジメントシステム(PMS)の構築と運用について、審査で確認される内容がより明確になりました。
2. 構築・運用指針の概要
「構築・運用指針」は、J.1~J.11の章立てで構成されており、各タイトルの後にカッコ書きで「JISQ15001」の本文と附属書Aの要求事項(実施すべき内容)と関連付けられています(表1)。
今回の改定で注目すべき点は、「構築・運用指針」のJ.1~J.7で、従来の「審査基準」にはなかった「JISQ15001」本文の要求事項が追加されていることです。従って、外部・内部の課題の明確化(J.1.1)や、利害関係者のニーズ及び期待の特定(J.1.2)、個人情報保護目的の計画策定(J.3.2)など、以前の審査にはなかった新たな確認内容が追加されています。
J.8~J.11は、従来の「審査基準」から殆ど変わっていませんが、「令和2年 改正個人情報保護法」には対応していないので、2022年1月に仮名加工情報や個人関連情報の第三者提供規制などの要求事項が追記・修正された「構築・運用指針」が公表される予定です。
3.構築・運用指針への対応準備
「構築・運用指針」の公表で、現行の個人情報保護マネジメントシステム(PMS)の基本的な取り組みが大きく変更されることはありませんが、以下のような対応が必要となります。
<必須>
① 「JISQ15001」本文の要求事項に対応するように文書を改訂し、運用する。
② 「令和2年 改正個人情報保護法」に対応するように文書を改訂し、運用する。
<推奨>
③ 個人情報保護の基本規定を「構築・運用指針」の章立てに合わせて改訂する。
④ 個人情報保護リスクアセスメントを「JISQ15001」本文の要求事項に対応するように
見直しする。
テクノソフトの構築・運用指針への対応支援
テクノソフトでは「構築・運用指針」への対応支援を実施いたします。下記の支援項目についてご希望内容をご確認いただき、お問合せください(表2)。支援内容の詳細を決定し費用をお見積りいたします。
 |
||
| 本社・大阪事業所 | 〒530-8611 大阪市北区角田町8-1 梅田阪急ビルオフィスタワー | TEL:06-7635-1820 |
| 東京事業所 | 〒100-0004 東京都千代田区大手町2-6-4 常盤橋タワー | TEL:03-6701-2339 |
| 倉敷事業所 | 〒710-0801 岡山県倉敷市酒津1621 | TEL:086-422-9315 |
| Webサイト:https://www.techno-sofot.co.jp / https://www.isoshien.com | ||
