「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」が公開され、2022年4月1日以降にプライバシマークの取得または更新の申請をした事業者に適用されることになりました。同指針は実質的にプライバシーマークの審査基準に該当するため、このコラムでは「新審査基準」と呼ぶことにします。
新審査基準のことを知るために、現行規格であるJIS Q 15001:2017の構造について説明します。現行規格の主要な要素は規格本文と附属書Aです。(附属書B、Cは重要性が低いので説明を割愛します)規格本文は、ISO27001の規格本文をほぼそのまま持ってきた内容、附属書Aは2006年版の規格本文に個人情報保護法の改正部分を反映させた内容です。本来は規格に沿って審査の基準が定められるべきですが、なんと、JIPDECは規格本文は審査基準に組み込まず、附属書Aをベースに審査をすることにしました。(大変な愚策です)
規格本文を審査基準から除外した意図は理解できます。ISO27001レベルの運用をいきなり事業者に要求するのは酷ではないかという配慮です。ただ、規格と審査基準のギャップをどのように埋めるのか、という借金をしばらく抱えることになります。
コロナ禍の影響で遅れに遅れたものと思いますが、新審査基準はJIS Q 15001とプライバシーマーク審査基準のギャップを埋めるべく策定されました。この間、個人情報保護法が改正されており、改正法への対応もおこなっています。下図のように捉えるとイメージしやすいと思います。
なお、現行規格であるJIS Q 15001:2017は2022年施行の個人情報保護法に準拠していない状況であり、引き続き、規格と審査基準のギャップは残っています。
新審査基準で事業者が最も影響を受けるのは、JIS規格本文の要求事項が組み込まれた部分です。 JIS規格本文はISO27001に由来するため、どこまでISMSに近い運用が求められるのか、我々コンサルタントも注目していました。
新審査基準はJ1~J11までの11のカテゴリーで要求事項が定められています。
J1~J7は規格本文を要求事項化したもので、PDCAサイクルをどのように回していくか、というマネジメントシステムの核を構成しています。
J8~J11は附属書Aに由来するもので、具体的な個人情報保護措置(本人からの同意の取得、安全管理措置など)が規定されています。改正法の差分はJ8~J11に組み込まれています。
規格本文を審査基準として組み込んだJ1~J7の中でも特に影響が大きいのは「J3 計画」の中の下記の要求事項です。
・J.3.1.3 個人情報保護リスクアセスメント
・J.3.1.4 個人情報保護リスク対応
・J.3.2 個人情報保護目的及びそれを達成するための計画策定
個人情報保護リスクアセスメント/個人情報保護リスク対応
ISO27001のリスクアセスメントの要素が組み込まれたと考えると良いでしょう。これまでは、リスク(残留リスク)を特定するだけの形式的な要求事項でしたが、今後は、リスクを評価し、具体的な対応計画を立案・実行することが求められることになります。
個人情報保護目的及びそれを達成するための計画策定
個人情報保護に関する年間目標を定め、目標を達成するための具体的な計画を立案し、実行することも要求されることになりました。
ISO27001の原語版において、「目的」はobjectivesと記述されています。そのため、日本語の「目的」よりも「目標」に近い意味で捉えるべきです。元々の意味はpurpose(=何のために個人情報保護をおこなうのか)ではないことを強調しておきます。
※後記
多くの審査員は目的はpurposeのみと捉えているようです。「目的=purpose+objectives」と捉えるのが正しい理解です。