特集

JISQ15001(個人情報保護マネジメントシステム要求事項)改正

2017年12月20日に、個人情報保護に関するJIS規格である「JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)」(以下、旧規格)が約11年ぶりに改正され、「JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項」(以下、新規格)が、新たにリリースされました。

改正の背景としては、2017年5月に施行された「改正個人情報保護法」へ準拠するべく、見直しが図られたものかと思います。

なお、「JIS Q 15001:2017」の本文は、JISC(日本工業標準調査会)のサイトのデータベースから検索・閲覧が可能となりますので、ご参照ください。

以下に、主な改正ポイント(項番、項目、及び概要)を記載します。

——————————————————————————————————————————————

• A.3.2.1 内部向け個人情報保護方針
• A.3.2.2 外部向け個人情報保護方針

⇒旧規格でも定められていた個人情報保護方針ですが、新規格では「内部向け個人情報保護方針」「外
部向け個人情報保護方針」をそれぞれ定める必要があります。

ただし、2つの方針の違いは、「問合せ先」「制定日」「最終更新日」の3点で良いとされており、それぞれを別個に作る必要はなさそうです。(一安心)

——————————————————————————————————————————————

• A.3.4.2.3 要配慮個人情報

⇒旧規格では「特定の機微の個人情報」でしたが、新規格では「要配慮個人情報」に変更となり、対象となる情報も変更されています。旧規格で対象となっていた「本籍地」「宗教」「労働者の権利の行使」「政治的権利の行使」などが対象から外れ、「病歴」「健康診断の結果」「犯罪により害を被った事実」などが対象に含まれるようになりました。

——————————————————————————————————————————————

• A.3.4.2.8.1 外国にある第三者への提供の制限
• A.3.4.2.8.2 第三者提供に係る記録の作成など
• A.3.4.2.8.3 第三者提供を受ける際の確認など

⇒新設されました。

——————————————————————————————————————————————

• A.3.4.2.9 匿名加工情報

⇒匿名加工情報とは、個人を特定できないように加工した個人情報で、復元ができないものを指します。
具体的な匿名加工情報の取扱いについて、個人情報保護委員会のホームページにて、「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」が公表されています。

——————————————————————————————————————————————

• A.3.4.3.2 安全管理措置

⇒附属書Cに管理策が具体的に記述されました。

——————————————————————————————————————————————

• A.3.4.5 内部規定

⇒新規格では、定めるべき15個の規定が具体的に明記されました。旧規格では記載されていなかった内容ですが、旧規格の適合審査でも審査されていたと思われる内容そのままです。

余談ですが、定めなければいけないものは「規程」ではなく、「規定」です。「規程」とは、「規定」が複数集まったものであるため、例えば、「個人情報保護規程」を1つ定めて、そのなかに、15個の「規定」を定めれば良いということになります。
(「規程」が15個だと、文書を15個制定しなければならず、途方に暮れてしまいますね・・・)

——————————————————————————————————————————————

以上が主な改正ポイントです。

全体を通して、新規格では、規定の順序が練られている印象で、参照先の順序などに違和感がなくなっており、とても読みやすくなったと感じます。

ただ1点、気になるところがあるとすれば、用語の定義でしょうか・・・。

新規格には、国際規格ISOと整合性をとるため、ISOに登場する用語の定義がされていますが、その多くはJISの新規格には一度も登場しない用語です。
(「分析モデル」「基本測定量」「導出測定量」「起こりやすさ」「尺度」など)

その一方で、肝心の新規格に登場する用語の定義が不足しているように感じます。
(「個人情報」「個人データ」「保有個人情報」「要配慮個人情報」「匿名加工情報」など)

これらの用語は、全員が当然のように理解しているものではないかと思いますので、個別に用語の定義を書き加えておく必要がありそうですね。