概要
2023年12月25日、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針【JIS Q 15001:2023準拠 ver1.0】」(以下、「新構築・運用指針」)が公開されました。
現行の構築・運用指針は、2022年4月1日から適用されていますが(最終改訂日は2022年4月28日)、2022年9月20日に発行されたJIS Q 15001:2023に準拠した内容にすべく、今回改定版が公開されました。
JIS Q 15001:2023についてはこちら https://jtrustc.co.jp/knowledge/jis-q-15001-2023_230926/を参照してください。
新構築・運用指針は、2024年10月1日以降に申請した事業者に適用されます。
構築・運用指針の構造
J.1からJ.11までで構成される構築・運用指針の構造は、現行のものから特に変更は発生していません。J.1~J.7、J.11がJIS Q 15001の規格本文(項番4~10)に関係する要求事項、J.8~J.10が附属書A(項番A.1~A.28)に関係する要求事項になっています。
なお、構築・運用指針では、「緊急事態への準備」「苦情・及び相談への対応」をJIS規格と違う章に入れていますが、構築・運用指針の項番をずらしたくなかったものと思われます。
構築・運用指針とJIS Q 15001:2023の対照表
| 構築・運用指針 | JIS Q 15001:2023 |
|---|---|
| J.1 組織の状況 | 4 組織の状況 |
| J.2 リーダーシップ | 5 リーダーシップ |
| J.3 計画 | 6 計画策定 7 支援 A.13 漏えい等の報告等 |
| J.4 支援 | 7 支援 |
| J.5 運用 | 8 運用 |
| J.6 パフォーマンス評価 | 9 パフォーマンス評価 |
| J.7 改善 | 10 改善 |
| J.8 取得、利用及び提供に関する原則 | A.1 利用目的の特定 A.2 利用目的による制限 A.3 不適正な利用の禁止 A.4 適正な取得 A.5 要配慮個人情報などの取得 A.6 個人情報を取得した場合の措置 A.7 A.6のうち本人から直接書面によって取 得する場合の措置 A.8 本人に連絡又は接触する場合の措置 A.14 第三者提供の制限 A.15 外国にある第三者への提供の制限 A.16 第三者提供に係る記録の作成等 A.17 第三者提供を受ける際の確認等 A.18 個人関連情報の第三者提供の制限等 A.27 仮名加工情報 A.28 匿名加工情報 |
| J.9 適正管理 | A.9 データ内容の正確性の確保等 A.10 安全管理措置 A.11 従業者の監督 A.12 委託先の監督 |
| J.10 個人情報に関する本人の権利 | A.19 保有個人データに関する事項の公表等 A.20 開示 A.21 訂正等 A.22 利用停止等 A.23 理由の説明 A.24 開示等の請求等に応じる手続 A.25 手数料 |
| J.11 苦情及び相談への対応 | 7 支援 A.26 個人情報取扱事業者による苦情の処理 |
主要な変更点
J.3.1.1 個人情報の特定
JIS Q 15001;2023では、匿名加工情報、仮名加工情報、個人関連情報(提供先の第三者において個人情報 になることが想定される場合)を特定の対象とすることが“望ましい”とされており、新構築・運用指針でどのような扱いになるのか注目されていました。新構築・運用指針において、 《留意事項》の中で、“自らの事業の用に供している仮名加工情報、匿名加工情報、及 び個人関連情報(当該個人関連情報が提供先の第三者において 個人情報になることが想定される場合)においても、当該要求 事項に基づいて実施すること”と記載されており、対応必須の扱いになります。
また、個人情報管理台帳に記載する項目について、“管理する個人情報の件数(概数でも可)”が追加されました。こちらはこれまでも多くの企業が個人情報の件数も項目に入れていたと思われますので、大きな影響はないと思われます。
J.3.1.3 個人情報保護リスクアセスメント
個人情報保護のリスク基準の観点として、“本人の権利利益の侵害 ”、“個人情報の正確性の 未確保、不正・不適正取得、目的外利用・提供、不正利 用、開示等の求め等の拒否に関する事項”が追加されました。ISO 27001でも「リスク基準」という文言が同じように使用されていますが、リスク(基準とのギャップ)を検出するためのベースラインと読むのが正しい読み方です。JIPDECはこの点を少し誤解しているのか、脅威(起こってほしくないこと)のカテゴリーを追加した形を取っています。実務には影響なく、規定改訂のみでカバーできる変更点です。
個人情報保護リスクを特定する際の観点として、“個人情報のライフサイクル”、“個人情報の性質”、“ 個人情報に係る情報処理施設及び個人情報に係る情報シス テム”、“事業者が既に講じている安全管理措置”が追加されました(JIS Q 15001:2023にも同様の記述が追加されています)。“個人情報のライフサイクル”に着目したリスクの特定は、労力がかかる上、無内容な結果をもたらしやすいものですが、情報システムに着目することが明記されたことは、歓迎すべき事項と捉えたいです。
J.3.1.4 個人情報保護リスク対応
残留リスクの管理に関して、“モニタ リングし、レビューし、対応可能となった場合に追加的対応の 対象とすること”という記載が追加されています。これまでは残留リスクを特定するだけでなく、可能な範囲で適切に対応することが求められることになるとすれば、前向きな改善と言えます。
J.3.4 変更の計画策定
個人情報保護マネジメントシステムの変更の必要性 に関する決定をしたとき、その変更を計画することが要求されています。具体的には、法令・ガイドライン、JIS規格、審査基準などの改正動向をキャッチし、どのタイミングでPMSの変更をおこなうのか、マネジメントレビュー等の中で議論し、次年度の活動計画に反映させることが求められています。
J.6.2 内部監査
《留意事項》の中で、“監査範囲は、自らの事業の用に供する個人情報を取扱う全 ての業務、従業者、情報システム等を含めることが重要となる”と記載されています。特に“情報システム等を含める”の部分がポイントで、情報システムの開発、運用、保守に関わる対応が適切に実施されているかを監査の中でしっかり確認することが求められるようになると読み取っています。
J.8.7 本人に連絡又は接触する場合の措置(共同利用の但し書き)
個人情報の共同利用の要件に、“共同して利用する者との間で共 同利用について契約によって定めているとき”が追加されました。これまでは、“手続等をあらかじめ取り決めておくことが望まし い”という記載であり、共同利用者間の契約(覚書、確認書でも可)が義務化されました。
また、 《留意事項》の中で、 “「共同利用の趣旨」は、本人から見て、当該 個人データを提供する事業者と一体のものとして取り扱われる ことに合理性がある範囲で、当該個人データを共同して利用す ることである”と記載されています。安易に共同利用で組み立てようというという事業者が多いことに対する警笛とも言えるでしょう。
J.8.9 匿名加工情報
匿名加工情報を作成している事業者が少ないと思われるため、一部の事業者にのみ影響を与える変更ですが、インパクトの大きな要求事項が《留意事項》の中に記載されました。
個人情報データベースから匿名加工情報を作成する際に派生的に発生する情報を「加工方法等情報」と呼びますが、加工方法等情報のうち、“氏名等を仮IDに置き換えた場合における氏名と仮IDの対 応表 ”、“氏名等の仮IDへの置き換えに用いた乱数等のパラメータ など”は匿名加工情報作成後に削除することが求められています。
J.9.2 安全管理措(外部サービスの選定)
“外部サービスを利用する場合であって、当該サービス提供事業者が当該個人データを取り扱わないことになっているサービス を利用する場合は、適切な安全管理措置が図られるよう、あら かじめサービス内容の把握、評価等を行ったうえで選定するこ と。”という要求事項が追加されています。
これまでのPマーク審査スタンスは、個人情報が関係する外部サービス(クラウドサービス等)に対して、一律に「個人情報の委託先」として管理することを要求してきました。今後は、例えばクラウドサービスの特性を考慮したセキュリティレベルの把握、評価をおこなう運用が求められることになります。
構築・運用指針の変更点の中で、最も評価すべき事項と言えるかもしれません。
新構築・運用指針対応のポイント
1)PMS文書の改訂
“主要な変更点”で紹介した項目を中心に、PMS文書の改訂を進めます。
ただし、それ以外にも全般的な文言修正(例:文書化すること→文書化した情報を利用可能な状態にすること)、但し書きの変更などにも対応する必要があります。
また、JIS Q 15001:2017では、規格本文がプライバシーマークの要求事項に全く対応していなかったため、上位規定(例えば、「個人情報保護規程」のようなもの)は、JIS Q 15001:2006の時点のままの事業者も多いかもしれません。JIS Q 15001:2023の規格本文のエッセンスを「個人情報保護規程」に反映させることで、文書体系全体が整理しやすくなります。
まずは、「J.3.4 変更の計画策定」に基づいて、変更計画を立案してください。当社でも、JIS Q 15001:2023と新構築・運用指針をベースにギャップ分析を実施し、変更計画の立案をサポートするサービスを提供しています。
2)新構築・運用指針に基づく運用の底上げ
個人情報の特定においては、匿名加工情報、仮名加工情報、個人関連情報(当該個人関連情報が提供先の第三者において 個人情報になることが想定される場合)を個人情報管理台帳に特定しましょう。
リスクアセスメントにおいては、情報システムの設定や運用の課題も個人情報保護リスクとして認識すると規格改訂に合わせてセキュリティの底上げが可能になります。また、残留リスクに対してのアプローチも継続的に検討してください。プロセスアプローチからベースラインアプローチへ(特にシステムリスクの抽出には有効)、リスク対応計画の立案と実行をゴールにすること、がポイントになります。
外部サービスの選定においては、「クラウドサービスセキュリティ基準」を策定し、事業者が利用するクラウドサービスを網羅的にチェックするのが良いですISO27017やISMAPの取得有無も基準に盛り込むと効率的なチェックが可能です。
現行の構築・運用指針への移行の際に積み残した事項への対応もこのタイミングで考えると良いです。リスクアセスメント、個人情報保護目的、力量管理などは対応できていない事業者が多いと感じます。これらは、審査員が現行審査基準をキャッチアップできておらず、事業者が実施していなかったとしても指摘されない項目になります。
