コンサルタントブログ

COLUMN

ホーム

JIS Q 15001 改正案について

こんにちは、コンサルタントの赤股です。昨日、JIS Q 15001の改正案が公表されたので、本日は新規格案に関してのブログとなります。
https://privacymark.jp/news/system/2017/0720.html
 
規格本文はほぼISO 27001の内容と同一で、現行規格の要求事項およびJIPDECガイドラインの一部が付属書Aに、付属書Bは付属書Aの解説になっています。安全管理措置については付属書Cが策定され、こちらはISO 27001の付属書Aとほぼ同一内容です。
上記を図にするとこんな感じでしょうか。

 
JIS Q 15001はあくまで、プライバシーマークの「準拠規格」であるため、規格の通り審査がおこなわれるわけではないと考えています。
新規格本文および付属書Cについて、審査にどのような影響を与えるかは不透明です。
早期の対応を考えている企業は、まずは新規格付属書Aと現行規格の差分に注目するのが良いと思います。差分は改正個人情報保護法に新たに加わった条文が大半です。
 
私見となりますが、随分待たされた割に、かなり乱暴な改訂のように感じております。
規格本文は、ISO 27001をコピーしただけの内容ですし、付属書Aの改正法に関わる部分は全て法律・委員会規則・委員会ガイドラインに飛ばしている有様。JIS改正委員が一体何に時間をかけていたのか全く理解できません。
 
もう1点気になるのは、審査員の能力の問題です。
プライバシーマークとISMSの両方の審査員資格を持っている審査員も確かにいますが、プライバシーマークしか知らない審査員も多いと思われます。新規格本文と付属書Cを審査に反映させるとすると、多くの審査員はキャッチアップできないはずです。また審査員には高齢の方が多いため、キャッチアップできない審査員は引退を余儀なくされます。
以上から、新規格本文と付属書Cの適用は段階的にしかおこなわれないと予想します。
 

<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ

一覧へ