ISMS, プライバシーマークに関するさまざまな資料と役立つリンク集

JIS Q 15001:2017発行。JIS Q 15001規格改正における移行計画と変更点について

2018/01/11 (2023/01/16)
Pマーク解説資料.  20,986 views

2017年12月20日にJIS Q 15001:2017は発行されました。

規格の改正に当たり、情報セキュリティの安全管理措置の点で共通する事項が多いことから、統合版ISO 補足指針の附属書SL に整合したマネジメントシステム規格として、先行して制定されているJIS Q 27001:2014(情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項)が参考にされています。
よって、2017年版は、個人情報保護法の改正とともに、新しい構成と情報セキュリティマネジメントシステムの概念も導入した改正となっています。

これに伴い、「用語及び定義」についても、JIS Q 27000:2014(情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語)を参考とし、個人情報保護マネジメントシステムにあわせ一部修正された内容となりました。

※統合版ISO 補足指針の附属書SLとは、マネジメントシステム規格(MSS)の整合化を図るため、MSSの上位構造(HLS:High Level Structure)および共通テキスト(Indential Core Text)、共通用語、定義が開発されもの。

(参考)ISO27001:2013発行。ISO27001(ISMS)規格改訂における移行計画と変更点について

JIS Q 15001:2017への移行に関して

JIPDECによると、JIS改正に伴う新審査基準を1月中旬に公表(予定)するとのことです。

新規にプライバシーマークを取得する場合」および「プライバシーマークを取得済みで、更新する場合」ともに、2018年7月31日までは、「2006年版JIS」での申請となり、8月1日以降は「2017年版JIS」での申請となります。
更新における移行期間は2020年7月31日まで(2年間)設定され、この間は2006年版JISでの申請も認められるとのことです。

以下に、JIPDECが発表した「JIS改正に伴うプライバシーマーク審査基準の改正について」を記します。詳細は、そちらでご確認ください。

JIS改正に伴うプライバシーマーク審査基準の改正について|一般財団法人日本情報経済社会推進協会(JIPDEC)

JIS Q 15001:2017の改正内容に関して

JIS Q 15001:2017は、どのような改正がなされたのでしょうか?
今回の改正のポイントとしては、以下の2つがあります。

1) 規格構成の変更
2) 個人情報保護法の改正に伴い追加された要求事項

1) 規格構成の変更

今回の改正で規定内容が、マネジメントシステムに関する要求事項を記載した「本文(規定)」と、管理策を記載した「附属書A(規定)管理目的及び管理策」とに分離されました。
さらに、附属書Aの理解を助けるための参考情報を記載した「附属書B(参考)管理策に関する補足」と、ISO/IEC 27001:2014の附属書Aをもとに作成された「附属書C(参考)安全管理措置に関する管理目的及び管理策」、並びにこの規格と旧規格との対応を示した「附属書D(参考)新旧対応表」の構成に変更されました。

2) 個人情報保護法の改正に伴い追加された要求事項

個人情報保護法の改正に伴い、以下の要求事項が追加又は変更されたました。

(変更事項)
・ “特定の機微な個人情報”を、“要配慮個人情報”に変更。
・ “個人情報”としていた要求事項の一部を、個人情報保護法に合わせ“個人データ”に変更。
・ “開示対象個人情報”が、“保有個人データ”に変更。

(追加事項)
・ “外国にある第三者への提供の制限”が追加。
・ “第三者提供に係る記録の作成など”が追加。
・ “第三者提供を受ける際の確認など”が追加。
・ “匿名加工情報”が追加。

JIS Q 15001:2017の構成

以下は、JIS Q 15001:2017の規格構成を示したものです。赤字は、新規に追加されたものです。なお、他の要求事項の詳細においても追加及び変更されております。詳しくは、「JIS Q 15001:2017」をご覧ください。

0 序文
0.1 概要
0.2 他のマネジメントシステム規格との近接性
1 適用範囲
2 引用規格
3 用語及び定義
4 組織の状況
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解

4.3 個人情報保護マネジメントシステムの適用範囲の決定
4.4 個人情報保護マネジメントシステム
5 リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2 方針
5.3 組織の役割,責任及び権限
6 計画
6.1 リスク及び機会に対処する活動
6.2 個人情報保護目的及びそれを達成するための計画策定
7 支援
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化した情報
8 運用
8.1 運用の計画及び管理
8.2 個人情報保護リスクアセスメント

8.3 個人情報保護リスク対応
9 パフォーマンス評価
9.1 監視,測定,分析及び評価
9.2 内部監査
9.3 マネジメントレビュー
10 改善
10.2 不適合及び是正処置
10.3 継続的改善
附属書A(規定)管理目的及び管理策
附属書B(参考)管理策に関する補足
附属書C(参考)安全管理措置に関する管理目的及び管理策
附属書D(参考)新旧対応表

※「JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項」のご購入は、以下のサイトよりどうぞ。
日本規格協会 – JSA Webdesk : https://webdesk.jsa.or.jp/books/W11M0070/index