ISMS, プライバシーマークに関するさまざまな資料と役立つリンク集

プライバシーマーク(JIS Q 15001:2017)において必要とされる文書化要求項目のまとめ

10.01.2018 | Pマーク解説資料.  884 views

JIS Q 15001:2017およびJIPDEC審査基準をもとに、プライバシーマーク制度において必要とされる文書化の要求箇所をまとめてみました。

※JIS Q 15001:2017およびJIPDEC審査基準に関する詳細は、以下にてご確認ください。
JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項(日本規格協会 JSA Webdesk)
プライバシーマーク付与適格性審査基準(一般財団法人日本情報経済社会推進協会(JIPDEC))

JIS Q 15001:2017では、本文だけでなく、附属書Aも「規定」となっているため、文書化が要求される事項としては、本文と附属書Aが対象となります。
要求事項の本文では「文書化した情報」と示された箇所となり、附属書Aでは「A.3.5.1 文書化した情報の範囲」と「A.3.5.3 文書化した情報のうち記録の管理」の要求事項が該当することになります。

JIS Q 15001:2017の本文で「文書化した情報」を要求している箇所は、14箇所あり、うち12箇所は附属書Aと重複しています。
JIPDECが公表している審査基準では、JIS Q 15001:2017の附属書Aを確認する方法をとっており、JIS Q 15001:2017の本文でのみ要求される文書化の要求事項は含まれていないため、残り2箇所(本文のみで文書化が要求されている箇所)は、現JIPDEC審査基準では審査項目には含まれていません。

※本文のみで文書化が要求されている箇所
4.3 個人情報保護マネジメントシステムの適用範囲の決定
6.2 個人情報保護目的及びそれを達成するための計画策定

JIS Q 15001:2017の附属書Aで文書化が要求されている箇所は、「A.3.5.1 文書化した情報の範囲」で、以下のa)~f)が文書化の範囲として規定されています。

a) 内部向け個人情報保護方針
b) 外部向け個人情報保護方針
c) 内部規程
d) 内部規程に定める手順上で使用する様式
e) 計画書
f) この規格が要求する記録及び組織が個人情報保護マネジメントシステムを実施する上で必要と判断した記録

まず、a)およびb)に示される「 内部向け個人情報保護方針」と「外部向け個人情報保護方針」の2箇所。
次にc) に示された「内部規程」。これは、「A.3.3.5 内部規程」に示されるa)~o)の15箇所の規定が該当します。
そして、d)の「内部規程で定める手順上で使用する様式」。これに関しては、組織によって異なってくるでしょう。
e)の「計画書」では、JIPDEC審査基準では、「A.3.5.3 d) 計画書」となっており、「A.3.3.6 計画策定」に示される「教育実施計画」と「内部監査計画」の2箇所が該当すると考えられます。
最後に、f)の「この規格が要求する記録及び組織が個人情報保護マネジメントシステムを実施する上で必要と判断した記録」では、「A.3.5.3 文書化した情報のうち記録の管理」のa)~l)の11箇所(A.3.5.3の「d) 計画書」は、A.3.3.5の「e) 計画書」に該当するためカウントせず)と、「A.3.4.2.8.2 第三者提供に係る記録の作成など 第三者提供に係る記録の作成など」および「A.3.4.2.8.3 第三者提供を受ける際の確認など 第三者提供を受ける際の確認など」にて要求される2箇所が該当します。
以上、合計32箇所が、文書化した情報に関する要求箇所となります。

JIPDECの審査基準では、これに14加えた46のエビデンスをチェック項目として掲載されています。
よって、認定を受けようとする組織は、これら46の項目を確認しておく必要あるでしょう。

※JIPDEC審査基準で加えれた14のエビデンスチェック項目

A.3.3.4
個人情報保護のため人的資源 (例)「2 体制図 」
A.3.4.5
使用した教材等
A.3.4.2.3
本人の同意書面
A.3.4.2.5
本人に明示した書面,
本人の同意書面
A.3.4.2.6
本人への通知書面
A.3.4.2.7
本人への通知書面
A.3.4.2.8
本人への通知書面,
共同利用についての契約
A.3.4.3.4
委託先の選定記録,
委託した個人情報の利用目的が確認できる記録(例)委託契約書,
個人情報の取扱いを委託している事業者を確認できる記録(例)委託先一覧,
委託先の監督に関する記録(例)A.3.4.3.4のa)~h)の実施の記録
A.3.7.2
監査項目(例)監査チェックリスト