SERVICE
サービスの概要当社はプライバシーマークはもとより、多数のISMS認証取得支援の知見、また認証に留まらない幅広いセキュリティリスクアセスメントの知見から新審査基準に合わせたあるべきマネジメントシステム構築の為のコンサルティングサービスを行なっております。
POINT
Pマーク新審査基準における構築・運用指針の概要 構築・運用指針で変更になった点としては、おおむね以下2点となります。
・JISQ15001 規格本文の内容に基づく、ISMS的な要素の追加
・改正個人情報保護法(令和2年改正)の内容追加
【JIS本文の追加】
現行のJISQ15001は2017年に改正されたものですが、その際に規格全体の構造が大きく変更となりました。(下記の図を参考)
構造上の最大の変更点は、従来の本文がく付属書Aとなり、新たなく本文が追加されたことです。この新たな本文は、ISMS認証の準拠規格であるISO27001を含む、他のISO規格の本文に近いものとなっており、プライバシーマークにおいてもISMSの要素が導入されることで、より高いレベルのマネジメントシステムの構築が期待されました。
しかし、従来の基準である付属書Aの内容と整合性を保った解釈が難しい箇所があるからか、プライバシーマークの旧審査基準では主にJISQ15001:2017の付属書Aが対象となっており、JIS本文の要求事項は事実上無視されていました。
今回の「構築・運用指針」では、この JIS本文の内容が明確に記載されるようになりました。
代表的な変更点としては下記のようなものが挙げられます。
・個人情報保護目的およびその実現のための計画策定
・リスクアセスメントにおける、残留リスクの定量的分析および対応計画策定
・個人情報保護上の役割に応じた力量管理
・個人情報保護活動に関するパフォーマンス評価
これらの内容は、ISMS等の認証を取得している企業様は既に理解されている部分かと思 いますが、プライバシーマークのみを取得している企業様の場合は、審査基準で明確に求 められていなかったこともあり、実運用を含めてあまり対応ができていないケースがほと んどとなります。
[改正個人情報保護法対応の追加]
改正個人情報保護法は2022年4月より施行されているため、構築・運用指針にも当然そ の改正内容が盛り込まれています。 新しく定義された個人関連情報や仮名加工情報の他、事故報告の義務化、開示請求の対応 方法や請求対象の変更等、既存の運用にも影響のある改正内容があるため、全く無関係と いう企業様は基本的にありません。
課題
無駄な工数を削減したい
プライバシーマークを維持するために、ただ記録作成などの「作業」をするだけという事態に陥り、無駄な工数がかかっている。
解決
マネジメントシステムの効率化
無駄な帳票の廃止、効率的な記録の管理手順の導入等による、マネジメントシステムの効率化を支援いたします。
課題
経営陣や現場がマネジメントシステムに協力的でない
プライバシーマークの保持のためだけの「儀式」「作業」に、経営陣や現場も巻き込むこととなり、「プライバシーマークは無駄」という認識を与えてしまう。
解決
マネジメントシステムの有効性向上
教育・監査・マネジメントレビュー等の実施事項について、貴社にとって本当に意味がある内容とし、全社的な体制強化をするための支援をいたします。
課題
マネジメントシステムが個人情報保護に役立っていない
プライバシーマークの要求事項に忙殺され、個人情報保護のための具体的な施策に手が回らない。
解決
無駄を排し、本来やりたい・やるべきことに注力
マネジメントシステム改善により無駄を排した結果、浮いたリソースを活用して、プライバシーマークの枠組みに捉われず、本当にやるべき個人情報保護対策に注力することができます。
FEATURE
サービスの特徴各社に合わせたマネジメントシステム構築
当社は日本で最初の個人情報保護専門コンサルティングファームとして、長年に渡りマネジメントシステムの実効性に繋がる取り組みを研究してきました。プライバシーマークを取得・維持することは大前提ですが、各社に合わせたマネジメントシステム構築のため、複数回のご訪問を含めた丁寧なコンサルティングをおこないます。
FLOW
サービスの流れ- 1.新基準に対応した文書改訂支援
- 【1】GAP分析
各社の個人情報の取扱い状況および貴社既存のPMSを分析し、新審査基準とのGAPをあぶり出します。 貴社の実態に合った形での新PMS文書の文書体系や改訂方針をご提案します。
【2】規格本文対応
JIS規格の本文は、もともとISMS認証の準拠規格でもあるISO27001などのISO規格の本文とかなり近い内容であるため、ISMS認証取得の知見をベースにした対応を行います。当社ではISMSの考え方を導入したマネジメントシステムの大幅な改善から、なるべく運用変更を抑えたいお客様に向けた最小限の対応までご要望に合わせた幅広い対応が可能です。
【3】改正法対応
改正個人情報保護法(令和2年改正)において、仮名加工情報、個人関連情報が新設され、要求事項が複雑になりました。また、外国にある第三者提供制限が強化されたことも注目されます。法文や新審査基準の専門的な見地から理解し、顧客企業の個人情報保護ルールに反映させます。 - 2.リスクアセスメント支援
- 新たに加わったJIS規格本文の要素の中でも、リスクアセスメントは特に重要な活動となります。
リスクアセスメントについては、リスクの特定方法こそ従来と変わらないものの、特定したリスク分析およびリスク対応計画の策定について、ISMS認証に近い考え方が導入されました。
当社ではISMS認証取得支援の知見から、効果的な分析方法の導入・リスク対策方針の策定により、構築・運用指針への対応をサポートします。
また、リスクの特定についても、これまでに十分にリスクの洗い出しができていなかった企業様も多く見受けられました。インターネットプライバシー研究所では、大手企業様、中小規模の様まで様々な観点からリスクの特定を行なってきた実績がございます。これを機に改めてリスクを洗い出したいといったご要望への対応もさせていただきます。 - 3.その他・新たな運用支援
- リスクアセスメント以外にも、個人情報保護目的の明確化や力量管理、パフォーマンス評価など、マネジメントシステム運用に関わる様々な要素がJIS規格本文から盛り込まれています。
それらを規程に盛り込んだは良いものの、実際にどのようなことを重視して運用すればよいのかわからないといったケースがあります。
当社では単に規程を改訂するだけではなく、各種の新たな運用についても効果的実施できるようサポートすることが可能です。また、新たな基準に応じた内部監査なども対応いたします。
サービスに関するお問い合わせは、下記の【お問い合わせフォーム】よりお気軽にお送りください。プライバシーマーク新審査基準対応に関するご質問・ご相談・お見積もりは無料です。
