【図解】JIS Q 15001:2023の要求事項を体系図で整理しました
本資料は、JIS Q 15001:2023(個人情報保護マネジメントシステム)の要求事項を、体系図を元に分かりやすく解説したものです。
JIS Q 15001:2023は、ISOマネジメントシステム規格と整合させるため、上位構造(HLS)を参照した構成を採用しています。
本記事では、特に以下の主要な変更点と構造について詳述します。
- JIS Q 15001:2017からの構成変更点(本文と附属書Aの関係性の見直し)
- 附属書SLに基づく規格構成と、他のマネジメントシステムとの整合性
- 要求事項における3つのレベルのPDCAサイクルの明確化
プライバシーマーク(Pマーク)の構築・運用に携わる方は、本資料を通じて新規格の全体像と要点を効率的にご理解いただけます。
「ISO/IEC専門業務用指針 第1部 統合版ISO補足指針」の附属書SLを参照した規格構成
JIS Q 15001規格は、「ISO/IEC専門業務用指針 第1部 統合版ISO補足指針」の附属書SL(マネジメントシステム規格のための調和させる方法)(以下「附属書SL」))に規定する上位構造(HLS)、共通の細分箇条題名、共通テキスト並びに共通の用語及び中核となる定義を参考にしています。
通常、ISOのマネジメント規格は、この指針に適合した規格構成になっており、他のISOマネジメント規格との整合が保たれている。
なお、JIS Q 15001規格においては、対応するISO規格は存在しないが、この指針における附属書SLを参照することにより、他のマネジメント規格との整合性を図ることが可能となってる。しかし、個人情報保護マネジメントシステム特有の項目もあるため、附属書SLに完全に準拠しているわけではなく、ISO規格に近接した規格構成としている(近接性を保っている) 。
JIS Q 15001の本文と附属書Aの関係性について
附属書SLを参考に、原則としての規格の本体に規定することになったのが、JIS Q 15001:2017(以下「2017年規格」)からです。
この2017年規格では、附属書Aとして、平成18年改正の規格における要求事項の基本的な考えを変更しないこととし、それまでの規格が定めていたマネジメントシステム(以下「MS」)規定と平成29年施行の改正個人情報保護法(以下「法」)に対応する規定の両方を含める構成となりました。
この2017規格の構成に対して、本体のMS規定と附属書Aに含まれるMS規定との対応が分かりにくいという指摘があり、2017年規格の附属書Aのうち、MS規定は本体の箇条4~箇条10に2017年規格に相当する規定を設けることとし、JIS Q 15001:2023(以下「2023年規格」)の附属書Aには、個人情報保護法の内容に対応する規定とした、規格構成に変更されました。
また、2017年規格の附属書Aでは、法との対応関係を明確にするために、法を一部引用し、組織が要求、推奨又は許容される事項(以下「上乗せ規定」)を規定していたが、附属書Aが規定する要求事項などの記載は、原則、上乗せ規定だけとされ、附属書Aへの管理策の記載方法が全面的に変更されました。
PDCAサイクルの明確化
上記の附属書SLの共通テキストに沿ったことで、要求事項におけるマネジメントシステムのPDCAサイクルがより明確になりました。
他のマネジメントシステムと同様、JIS Q 15001においても、以下のような3つのPDCAサイクルがあることが分かります。
- 組織が自律的に個人情報保護を実施し、維持し、継続的に改善できるシステムの確立
- 優先順位付けをし、戦略的なレベルでの個人情報保護に対する取り組み
- 現場レベルでの実施プロセス
A は、組織が内部及び外部の課題を把握し、利害関係者のニーズなどを考慮して、個人情報保護に対して、組織がどのように自律的に実施し、かつ維持し、継続的に改善するためPDCA サイクルです。
B では、A での組織方針を反映するとともに、個人情報マネジメントシステムを戦略的に実施するPDCAサイクルです。
C は、実施及び運用に関する要求事項に基づくPDCAサイクルとなります。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。
