JISQ15001改正で何が変わった?その後の事業者の対応は?
個人情報を保護するためのマネジメント規格であるJISQ15001、通称プライバシーマーク(Pマーク)。
そんなプライバシーマークが今回約10年ぶりに改正されたことをご存知でしょうか?
これから取得あるいはISO27001 (ISMS 認証)をすでに取得していてJISQ15001(プライバシーマーク)の追加取得を検討している方々も、今までJISQ15001(プライバシーマーク)を取得してきた方々も、規格が変わったということは、取得審査や更新審査に向けて、新しい規格にきちんと対応することが必要ということです。
そこで今回は、JISQ15001(プライバシーマーク)改正での変更点とそれに伴う対応についてご紹介していきましょう。
目次
個人情報保護法の改正
今回のJISQ15001(プライバシーマーク)が改正は、同じく約10年ぶりに改正され、2017年5月30日から全面施行された個人情報保護法の影響によるものです。
この新しい個人情報保護法の内容に対応するために、JISQ15001(プライバシーマーク)も改正が行われました。
改正後のJISQ15001の規格構造
この改正後の2017年度版JISQ15001(プライバシーマーク)では、他のISO マネジメントシステム との整合性確保の観点などから、同じ情報セキュリティのマネジメント規格であるISO27001(ISMS認証 )の要求事項を踏襲した本文へ変更されています。
これにより、以前よりも他のISO規格のマネジメントシステムとルールの統合や運用がしやすくなりました。
また、この規格本文に加え、ISO27001(ISMS認証)と同じく管理策を記載した附属書A(規定)、この附属書Aへの理解を助けるための参考情報を記載した附属書B及び附属書C、並びにこの規格と旧規格との対応を示した附属書Dがあり、この5つから構成されています。
個人情報保護法の変更点
冒頭で触れたとおり、今回のJISQ15001(プライバシーマーク)の改正は個人情報保護法に対応することが主な理由となっています。では、そのJISQ15001:2017のもととなった改正後の個人情報保護法の変更点について見ていきましょう。
対象範囲が個人情報を扱うすべての事業者に拡大された
以前までの個人情報保護法では5000人を超える個人情報を保有する事業者が適用対象でしたが、改正後の個人情報保護法では、同条項が削除されたため、保有している個人情報が5000人以下の小規模事業者であっても適用の対象となりました。また、この中には個人事業主やNPO法人なども該当します。
個人情報がより明確に分類された
更に、改正後の個人情報保護法では新たな個人情報の概念が新設されています。個人識別符号 、要配慮個人情報、匿名加工情報 の3つです。
まず、個人識別符号ですが、旅券番号や運転免許証番号、個人番号といった個人に割り当てられる符号や、指紋データや顔認識データなどの個人の身体の一部の特徴をデータ化したものなどが個人識別符号にあたります。こうした個人識別符号は単体からでも個人を特定する情報となるため、個人情報として新たに取り扱うようになったのです。
続いて、要配慮個人情報ですが、こちらは以前の規格での機微な個人情報として扱っていたものです。人種や信条、病歴、犯罪の経歴など、第三者に知られることで本人が差別などの不利益を被る可能性がある個人情報を要配慮個人情報として捉え、他の個人情報よりも特別に配慮しましょうということが定義されました。
3つ目は、匿名加工情報です。こちらは、もともと個人情報であるデータを誰の情報かわからないように加工して、元の状態に復元できないようにした情報のことを指します。この匿名加工情報は個人情報に該当しないと定義されたため、本人の同意なしに第三者提供が可能となることから、企業はこうした匿名加工情報を基に、ビッグデータの利活用に向けた取り組みを促進することが可能となりました。
個人情報提供のルールがより厳しくなった
新たに罰則が設けられた
従来の個人情報保護法では、個人情報の不正な持ち出しや提供に対して罰する規定がありませんでしたが、近年のデータベースの不正提供などの事件を受け、改正後の個人情報保護法では、新たに罰則が追加されています。これにより、個人情報データベース等を自己又は第三者の利益を不正に得るため、提供又は登用した場合、1年以下の懲役、もしくは50万円以下の罰金が課せられることとなりました。
オプトアウト手続きが厳格化された
個人情報保護法では、個人データを第三者提供するには本人の承諾を必要としていますが、あらかじめ本人に通知、または知り得る状況に置くことで、個人データが第三者提供可能とすることをオプトアウトと言います。改正後の個人情報保護法では、このオプトアウトで第三者提供を行う場合は、個人情報保護委員会に届け出をすることが義務付けられています。ただし、要配慮個人情報の場合は、そもそもオプトアウトでの提供ができないため要注意です。
外国の第三者への提供ルールの新設
昨今の企業活動のグローバル化に伴い、個人データを外国の第三者への提供に関するルールが新たに策定されました。
このルールは、外国の第三者に個人情報を提供する場合には本人の同意が必要になるということです。この外国の第三者とは、個人データの本人及びそれを取り扱う事業者を除く、外国にある法人のことを指し、外国政府もこれに含まれます。ただし、法人格の有無で判断されるため、同じ法人の現地支店や駐在所などは該当しません。
トレーサビリティの確保が義務付けられた
個人情報のトレーサビリティの確保が義務付けられました。簡単に言うと、個人情報のやり取りの記録を取り、追跡可能にしなさいということです。
このトレーサビリティの確保は個人情報を提供する側だけでなく、提供を受ける側双方に記録の義務があります。必要な記録項目はいくつかありますが、たとえば提供先及び提供元の第三者の氏名又は名称など当該第三者を特定する情報や当該個人データの項目などがあります。
以上が個人情報保護法の主な改正内容になります。
審査への備え
それでは、その上で改正されたJISQ15001(プライバシーマーク)に事業者はどのように対応して、審査に備えると良いのでしょうか?
新設された要求事項への対応
まず、JISQ15001:2017で新たに新設された要求事項として6つが挙げられます。
そのうちの5つは先程個人情報保護法の改正内容の中で触れた、「要配慮個人情報」「トレーサビリティの確保」「オプトアウト規制の強化」「外国事業者への第三者提供」「匿名加工情報」で、個人情報保護法で義務付けられたことに対しての対応することが要求事項となっています。
残る1つの要求事項は、「個人データの消去の努力義務」です。こちらは、個人情報を正確かつ最新の状態で管理するために、事業者が定めた保管期限を過ぎた個人情報を消去し、その消去した記録を取ることが要求されています。
従来からの変更点からの必要な対応
また、従来の規格要求事項からの変更点の中でも、対応する必要のある変更点があります。それぞれについて下記のような対応を取る必要があります。
①個人情報保護方針の追加
新規格では、方針を周知する対象を「組織内に伝達し、必要に応じて利用関係者が入手可能」としています。また、制定及び最終改正年月日、問い合わせ先について明記することが必要です。
そのため、上記の対応が出来ていない場合は、新たに制定及び最終改正年月日の追加や、利害関係者が入手可能であるように整える必要があります。
②委託契約・選定
契約によって規定する事項に、契約終了後の措置が追加されました。そのため、従来の規程の中に委託先との契約をこの項目を盛り込む必要があります。
③従業者に認識させる「個人情報保護方針」
旧規格でも個人情報保護教育を実施する要求がありましたが、新たに方針等を認識させるという要求が追加されています。
④その他
「機微な個人情報→要配慮個人情報」のように、用語に変更のあるものが複数存在します。用語が変わっただけでなく、対象とする情報に変更があるものもあるので、注意が必要です。
つまり、入退室の記録やアクセスログなどの定期的確認を行い、対応できていないリスク対策などの気づいた点があれば是正し、内容によっては年1回のマネジメントレビューを待たずに代表に報告する必要するということです。
新設要求事項と変更点に対応しよう
以上がJISQ15001(プライバシーマーク)の主な変更点とそのための事業者の対応となります。
旧規格からの主な変更点をしっかりと対応して、JISQ15001:2017に対応したプライバシーマークを運用し、取得審査や維持審査に備えていきましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい