改正までの経緯と今後の動き
2023年9月20日、現行のJIS Q 15001が6年振りに改正されました。その間、個人情報保護法が改正され(2022年4月施行)、それに合わせる形で、審査基準(個人情報保護マネジメントシステム構築・運用指針、以下「構築運用指針」、2022年4月1日適用開始)も改正されました。現行規格であるJIS Q 15001:2017と個人情報保護法・構築運用指針のギャップを埋めるべく、 JIS Q 15001が改正されることになりました。
プライバシーマークの審査に影響する部分は、規格本文と附属書Aになりますが、いずれも原理・原則が記載されているに過ぎず、このタイミングで文書改訂などの具体的な対応をおこなうのは難しいと思います。この後、2024年初頭頃に「構築運用指針」がJIS Q 15001:2023に合わせる形で改訂される見込みで、具体的な対応はそれを待つのが良いと考えます。そこから1年、恐らく2025年上期までが新規格への移行期間になるものと思われます。
規格の構造
規格本文は、ISO 27001の規格本文と同一の構成になっています。PDCAサイクルの回し方、教育、インシデント対応、文書管理などの組織的な取り組みが定められています。
付属書Aは、個人情報の取得、利用、提供の際に実施すべき事項、委託先の監督、開示等の請求への対応などの個人情報保護に関する管理策が定められています。
附属書B、Cは、それぞれ規格本文、附属書Aの解説の内容になっており、要求事項を理解するための補足資料になっています。
附属書Dは、ISO27001の附属書Aと殆ど同一の内容です。(ただし、旧規格である2013版をベースにしているところが、残念)現行の審査においても、この部分は全く無視されているため、気にしなくても良いでしょう。
附属書Eは2017版との対応表になっていますが、現在多くの事業者は構築運用指針をベースにPMSを構築しているため、全く役に立たない資料です。
まずは、規格本文と附属書Aを確認し、必要に応じて附属書B・Cを参照するのが良いと思います。
規格本文関連の主要な変更点
規格本文と現行の構築運用指針を比較して、事業者に影響を与える変更点について説明したいと思います。
事業者に影響を与える変更箇所は1点のみ。「6.1 個人情報の特定」です。
構築運用指針において、個人情報管理台帳において特定する対象は「個人情報」に限定されていました。ところが、新規格では、個人情報だけでなく、匿名加工情報、仮名加工情報、個人関連情報(提供先で個人情報として取得する場合に限る)も対象となりました。
その他、目をひくところとして、「苦情および相談への対応」「緊急事態への対応」が「7.4 コミュニケーション」の中に入っているところでしょうか。コミュニケーションの章をPマークの世界に書き下すことに苦労したため無理やり入れ込んだように感じています。変な個性は出さないで欲しいですね。
附属書A関連の主要な変更点
附属書Aを一読して驚いた方が多いのではないでしょうか。
「A.1 利用目的の特定」から始まって「A.28 匿名加工情報」まで、要求事項が構造化されることなく、フラットに並んでいます。「A.25 手数料」などを見ると悲しくなります。
結論からいうと附属書Aは殆ど読む必要はなく、構築運用指針からの変更点は特にないと考えて良いでしょう。難解な法文を規格にどう取り込むのか、策定委員の腕に期待しましたが、そこまでは考慮できなかったようです。
例えば、「A.27 仮名加工情報」の要求事項を見てみましょう。
- a)組織は,仮名加工情報の取扱いを行うか否かの方針を定めなければならない。
- b)組織は,仮名加工情報を取り扱う場合には、本人の権利利益に配慮し,かつ、法令の定めるところによって適切な取扱いを行う手順を確立し,それを文書化した情報とし、かつ、維持しなければならない。
“法令の定めるところによって”というところがポイントで、詳しくは個人情報保護法を読め、という作りになっています。
また、プライバシーマークは「但し書き地獄」が特徴ですが、同様の文法を駆使することで、附属書Aからは但し書きがなくなりました。
では、事業者が「但し書き」から解放されるのか言うとそれは、早合点かもしれません。恐らく構築運用指針には、「但し書き」が残ると思われます。
まとめ
今回の改訂により、JIS Q 15001不要論が出てくるように思います。様々な議論を経た中で、この形になったのだろうと思いますが、このようなJIS規格が生まれてしまったことは少し残念です。
最後に、事業者の皆様向けの対応ポイントを列記します。
・個人情報の特定が唯一影響を与える改訂ポイント。特に仮名加工情報をどのように特定するか、今のうちからイメージしておく。
・今動くのは時期尚早。構築運用指針の改訂版が出るのを待つ。
新しい構築運用指針について知りたい方はこちら