新しい基準でどう変わる?|プライバシーマーク改訂(JIS Q 15001:2023 改正)を徹底解説(後編)
2023年9月20日に個人情報保護マネジメントシステムの要求事項である「JIS Q 15001:2017」が6年振りに「JIS Q 15001:2023」として改正されました。これらの改正を踏まえ、同年2023年12月25日に「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針(以下、「構築・運用指針」という。)」が改訂されました。
本記事は、すでにプライバシーマーク認証を取得している企業やこれから申請を検討している企業の担当者はもちろん、改正動向や骨子を把握したい担当者も参考となる内容となっており、「プライバシーマーク改訂(JIS Q 15001:2023 改正)を徹底解説(前編)」の続きとなります。
■前提条件の整理
個人情報保護法の義務を超える「JIS Q 15001 個人情報保護マネジメントシステム-要求事項」の要件の中には、「直接書面による取得時の書面による同意」「共同利用時の契約締結の原則」「生存する個人以外にも渡る適用範囲」「台帳整備およびリスクアセスメント」「計画を含む教育・内部監査・マネジメントレビューの実施」など事業者の業態によっては一定以上の負担を要求するものも含まれますが、多くの要件がより高いレベルで本人の権利を尊重し、また、より効果的な個人情報保護ならびに利活用を実現するために不可欠な内容であるといえます。
尚、個人情報保護法は、実質的に日本国内の事業者すべてを対象とする法律であるため、最低限守るべきラインを定めた(ある意味では)緩やかな規制となっていることは否めず、一定の事業者、つまり、お客様などの個人情報を高度に活用して業務を行う事業者であれば、顧客満足や情報の利活用・社会的責任の観点からも JISQ15001 の要件を満たして然るべきであるとも考えられます。
特にマネジメントシステムの仕組みを用いた個人情報保護の実現は、個人情報保護法でこそ規定されてはいませんが、多くの関連ガイドラインで推奨されていることからも、あらゆる事業者にとっても有用な取り組みといえます。
過去の記事でもプライバシーマーク取得の流れやメリットを紹介していますので、ぜひ、参考にしてください。
目次
1. プライバシーマーク改訂解説(前編)の振り返り
1.1. 改正個人情報保護法(2022年4月に施行)のポイント
改正個人情報保護法では、以下の観点から法律が見直されました。
・個人の権利・利益の保護
・技術革新の成果による保護と活用の強化
・国際的な制度調和と連携
・越境データの流通増大に伴う新たなリスクへの対応
・AI・ビッグデータ時代への対応
それにより以下のような改正が行われました。
・個人の権利が拡大(個人情報の目的外利用以外も第三者への利用停止・消去等の請求が可能)
・個人情報取扱事業者は、個人の権利・利益を損なう場合の報告・通知が義務化、不適正な個人情報の利用を禁止
・外国事業者へ個人情報を提供する場合の本人からの同意や関連情報の提供等
・法令違反や虚偽報告抑止のための罰則強化
・「仮名加工情報」や「個人関連情報」の新設
どのような事業を営む場合でも個人情報は適切に取り扱う必要があるため、企業活動全体において個人情報保護法改正の影響を考慮する必要があります。
1.2. 「JIS Q 15001:2023」主要な改正箇所
・「個人情報の特定」における要求事項範囲の変更:「附属書A(規定)」に匿名加工情報/仮名加工個人情報や個人関連情報(提供先で個人情報として取得する場合に限る)が追加
・適用範囲が見直され、事業者単位からカンパニー制を採用する企業にも対応
・外部サービスの選定における要求事項が見直され、「委託先の監督」から「安全管理措置」の一環として“サービス内容の把握や評価等により選定を行う”へと変更※適用には諸条件あり
1.3. プライバシーマーク改訂解説(前編)まとめ
プライバシーマーク改訂解説(前編)では、個人情報の取扱いを巡る個人情報保護法の変遷や背景を解説しました。
また、「審査・改訂対応におけるスケジュール」や「新しい構築・運用指針」で求められる運用時期やプライバシーマーク事業者の有効期限を踏まえた対応時期などについても解説しました。
それでは「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」への対応について、より掘り下げて解説していきます。
2. 構築・運用指針2023版
2.1 概要
構築・運用指針の構造は大きく変更されていませんが、「JIS Q 15001」との全体の対応状況としては以下の通りです。
・規格本文の4~10⇒J.1~J.7、J.11
・附属書AのA.1~A.28⇒J.8~J.10
2.2. 考察:JIS Q 15001:2023と構築・運用指針の対照表
JIS Q 15001:2023および新しい構築・運用指針を比較すると、下記の様な対照表になるかと存じます。なお、本表は暫定的なものとなりますので、予めご了承ください。
| JIS Q 15001:2023 | 構築・運用指針 |
| 4 組織の状況 | J.1 組織の状況 |
| 5 リーダーシップ | J.2 リーダーシップ |
| 6 計画策定 | J.3 計画 |
| 7 支援 | J.4 支援 |
| 8 運用 | J.5 運用 |
| 9 パフォーマンス評価 | J.6 パフォーマンス評価 |
| 10 改善 | J.7 改善 |
| A.1 利用目的の特定 | J.8 取得、利用及び提供に関する原則 |
| A.2 利用目的による制限 | |
| A.3 不適正な利用の禁止 | |
| A.4 適正な取得 | |
| A.5 要配慮個人情報などの取得 | |
| A.6 個人情報を取得した場合の措置 | |
| A.7 A.6のうち本人から直接書面によって取得する場合の措置 | |
| A.8 本人に連絡又は接触する場合の措置 | |
| A.14 第三者提供の制限 | |
| A.15 外国にある第三者への提供の制限 | |
| A.16 第三者提供に係る記録の作成等 | |
| A.17 第三者提供を受ける際の確認等 | |
| A.18 個人関連情報の第三者提供の制限等 | |
| A.27 仮名加工情報 | |
| A.28 匿名加工情報 | |
| A.9 データ内容の正確性の確保等 | J.9 適正管理 |
| A.10 安全管理措置 | |
| A.11 従業者の監督 | |
| A.12 委託先の監督 | |
| A.19 保有個人データに関する事項の公表等 | J.10 個人情報に関する本人の権利 |
| A.20 開示 | |
| A.21 訂正等 | |
| A.22 利用停止等 | |
| A.23 理由の説明 | |
| A.24 開示等の請求等に応じる手続 | |
| A.25 手数料 | |
| 7 支援 | J.11 苦情及び相談への対応 |
| A.26 個人情報取扱事業者による苦情の処理 |
2.3. 構築・運用指針の主要な変更点
J.3.1.1 個人情報の特定
「JIS Q 15001:2023」は、個人情報の特定について、匿名加工情報、仮名加工情報、個人関連情報※を特定の対象とすることが“望ましい”とされていましたが、その一方で、新構築・運用指針にある≪留意事項≫では下記のように記載されています。
“自らの事業の用に供している仮名加工情報、匿名加工情報、及び個人関連情報(当該個人関連情報が提供先の第三者において 個人情報になることが想定される場合)においても、当該要求事項に基づいて実施すること”
このように構築・運用指針に明記された為、対応必須の扱いになります。
個人情報管理台帳の記載項目に「管理する個人情報の件数(概数でも可)」が追加されました。
※「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」をいいます。
J.3.1.3 個人情報保護リスクアセスメント
個人情報保護のリスク基準として、「個人情報の漏えい、紛失、滅失・毀損、改ざん、正確性の未確保、不正・不適正取得、目的外利用・提供、不正利用、開示等の求め等の拒否に関する事項」が追加されました。
これにより、以下の観点で個人情報を特定するよう留意点として追加されました。
- ・個人情報ライフサイクル
- ・個人情報の性質
- ・個人情報に係る情報処理施設及び個人情報に係る情報システム(あらゆる情報処理のシステム、サービス若しくは基盤、又はこれらを収納する物理的場所)
- ・事業者が既に講じている安全管理措置
J.3.1.4 個人情報保護リスク対応
≪留意事項≫において、残留リスクの適切な管理として、「残留リスクについて文書化し、モニタリングし、レビューし、対応可能となった場合に追加的対応の対象とすること等を指す。」と追加されました。
J.3.4 変更の計画策定
新たに追加された要求事項で、「個人情報保護マネジメントシステムの変更の必要性に関する決定をしたとき、その変更を計画すること」とあり、具体的には法令や関連するガイドライン等への対応により変更について検討し、承認を経て、次年度の年間計画等に反映させる必要があります。
J.6.2 内部監査
≪留意事項≫において、「監査範囲は、自らの事業の用に供する個人情報を取り扱う全ての業務、従業者、情報システム等を含めることが重要」とあり、監査範囲が明示されました。
これらを踏まえた上で、内部監査を行う必要があります。
J.8.7 本人に連絡又は接触する場合の措置(共同利用の但し書き)
個人情報の共同利用の要件として、「あらかじめ、共同して利用する者との
間で共同利用について契約によって定めている」とあるため、共同利用者との契約が義務化されたことになります。
共同利用の趣旨として、「当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲」とあるため、合理性がなければ共同利用とすることができないとも読み取ることができます。
J.8.9 匿名加工情報
もし匿名加工情報を取り扱う事業者であれば、≪留意事項≫において、復元が可能な匿名化をする場合について明示されています。
「加工方法等情報のうち、以下に示すような、その情報を用いて当該個人情報を復元することができるものについては、匿名加工情報の作成後は破棄すること。
- 氏名等を仮ID に置き換えた場合における氏名と仮ID の対応表
- 氏名等の仮ID への置き換えに用いた乱数等のパラメータ など
匿名加工情報を取り扱っている事業者は数多くないため、影響を受ける事業者は少ないと思われますが、取り扱っている事業者には一定以上のインパクトがある項番となります。
J.9.2 安全管理措置(外部サービスの選定)
「外部サービスを利用する場合であって、当該サービス提供事業者が当該個人データを取り扱わないことになっているサービスを利用する場合は、適切な安全管理措置が図られるよう、あらかじめサービス内容の把握、評価等を行ったうえで選定すること。」が追加されました。
これまで個人情報の委託先としてのみ委託先チェックリスト等で管理していた事業者が多いかと思われますが、今後は外部サービスの特性に応じてセキュリティ対策状況やセキュリティに関する評価が求められる可能性があります。
3. 規格本文に関連する要求事項への考察
2022年4月1日以降の審査基準において、JIS Q 15001の規格本文関連の要求事項については明文化されました。従来通りの審査対応(例:トップマネジメントへのインタビューでの確認等)で更新が行われた事業者も多いかと存じます。
その一方で、今後の新基準での審査においては、これまでより厳格に要求事項を求められる可能性があります。
以下に未対応の可能性が高いと思われる要求事項についてまとめました。
- ・個人情報保護目的及びそれを達成するための計画策定(J.3.2)
- ・リスク対応計画とリスクアセスメントの実施(J.3.1.3,J.3.1.4,J.6.3)
※マネジメントレビューでの実施項目を含む - ・階層別教育などを含めた力量の決定/管理/評価(J.4.2)
- ・個人情報保護活動のパフォーマンス評価(J.6)
4. まとめ
“2024年10月1日以降の申請”より、新審査基準での申請適用となるため、想定される最も早く新基準での審査を受けるのは、有効期限が「2025年6月1日」のプライバシーマーク事業者です。
また、いずれのプライバシーマーク事業者であっても、2024年10月1日の運用から新しい構築・運用指針での対応が求められております。
前後編の記事によって、新しい審査基準に向けての準備や審査対応への一助となれば幸いです。
日本パープルでは、無料セミナーやコンサルティングサービスを提供しており、お客様のニーズに合わせて柔軟に対応が可能です。
もしプライバシーマークの新しい運用・構築指針への対応について不安があれば、ぜひお気軽にご相談ください。
まもりの種:個人情報保護法改正(2022年4月施行)関連記事
【2022年4月施行】個人情報保護法改正、6つのポイントとは?
【2022年4月施行】個人情報保護法改正、6つのポイントを徹底解説
【2022年4月施行】個人情報保護法改正、プライバシーポリシー改訂のポイント
【2022年4月施行】個人情報保護法改正、開示請求のポイント
【2022年4月施行】個人情報保護法改正、個人関連情報・オプトアウト規制・不適正利用に関する対応ポイント
【2022年4月施行】個人情報保護法改正、従業員教育で取り上げるべきポイント教育
【2022年4月施行】個人情報保護法改正、個人データ漏洩等の報告・対応について
【2022年4月施行】個人情報保護法改正、個人データの取り扱いに関する安全管理措置について
【2022年4月施行】個人情報保護法改正Q&A、海外のクラウドサーバーやソーシャルプラグインに関する考え方
【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(全企業対象)
【2022年4月施行】改正個人情報保護法対応に向けた主なTo Doを解説!(Pマーク取得企業対象)
