catch-img

JISQ15001:2017におけるPマーク審査の4つのポイント

昨年の個人情報保護法改正を踏まえて、11年ぶりに「JIS Q 15001」の規格が「JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項 」に改定されました。それに伴いJIS Q 15001を基準としているPマークの審査基準も変更となり、2018年8月1日から適用が開始されます。そして2年後の2020年7月31日までに、取得事業者は新規格への移行が求められます。


目次[非表示]

  1. 1.新審査基準の4つのポイント
    1. 1.1.【ポイント①】改正個人情報保護法への対応
    2. 1.2.【ポイント②】個人情報の管理台帳に追記が必要な項目
    3. 1.3.【ポイント③】従業者の教育に追記が必要な項目
    4. 1.4.【ポイント④】運用の確認
  2. 2.移行準備期間は2年!
    1. 2.1.運転免許証番号・要配慮個人情報を高速検索「P-Pointer」


新審査基準の4つのポイント


次回の更新までに取得事業者の担当者がどのような対応を求められるか、Pマーク審査の4つのポイントをお伝えします。

弊社のPマーク担当へのインタビュー記事もご用意しています。ぜひあわせてご覧ください。

  Pマーク担当者に聞く!「任命されてから何をした?」~アララの場合~(前編) Webサイトを検索したり、公式テキストを読んだり、自身で調べながら個人情報管理の知識を深め、業務にあたっている方も多いと思います。そこで、今回は、弊社Pマーク担当者に「担当になってまず何をしたか」や「作業を進めるにあたり苦労していること」などをインタビューしました。 P-Pointer
  Pマーク担当者に聞く!「任命されてから何をした?」~アララの場合~(後編) 前編では、弊社Pマーク担当が「任命後に何をおこなったのか」や「どんな点に苦労しているか」などをご紹介しました。後編では、Pマークの取得にあたって「コンサルティング会社に依頼したほうが良いのか」、また「運用する上で工夫した点」などについてご紹介します。 P-Pointer


【ポイント①】改正個人情報保護法への対応

今回の規格改正では、2017年に施行開始された改正個人情報保護法で見直された項目が一部盛り込まれています。法改正に伴って、以下の項目がPマーク審査基準に盛り込まれました。

  • 要配慮個人情報の取扱い
    「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実」等の情報が、新たに「要配慮個人情報」というカテゴリで個人情報として区分されました。Pマーク審査において要配慮個人情報は、従来の「特定の機微な個人情報」と同様に取り扱う必要があります。



  • 個人データ消去の努力義務の追加
    不必要になった個人データは遅滞なく削除する努力義務が課せられました。Pマーク取得事業者は保管期限が過ぎた個人情報は消去し、消去の内容の記録を取らなくてはなりません。



  • オプトアウト規制の強化
    個人情報取得時の但し書きの規格が変更されました。Pマーク取得事業者が但し書きを通知文書や規定に記載している場合には、表記の修正が求められます。


  • 外国事業者への第三者提供
    項目が新設されました。事前に本人の同意を得ていない場合における外国の第三者事業者への個人情報提供は、基本的に認められておりません。Pマーク取得事業者は、外国事業者への第三者提供が想定されるのであれば、規定の見直しが必要です。ただし、外国にある自社支店や駐在員事務所への提供はこの限りではありません。



  • トレーサビリティの確保
    第三者との個人情報の提供・受け取りは、記録が必須となりました。Pマーク審査においても同様に、個人情報の授受の際は記録の作成が必要です。



  • 匿名加工情報の取扱
    近年ビックデータビジネスで主に活用されている「匿名加工情報」が項目が新設されました。これは「個人情報を、特定の個人が識別できないように加工した個人に関するデータ」を指します。Pマーク取得事業者は、新設された匿名加工情報をどのように扱うか方針を決める必要があり、扱う場合には指定された手順に従った規定を作成する必要があります。


\Pマーク審査の準備は個人情報の所在把握から/



【ポイント②】個人情報の管理台帳に追記が必要な項目

新たなPマーク審査基準では、上記の「改正個人情報保護法における個人データ消去の努力義務の追加」に基づき、台帳に記載すべき項目として「個人情報の保管期限」が追加されました。

また、個人情報の特定・見直しの頻度が明確化され、台帳の内容を少なくとも年に一回の適宜な確認と、最新の状態での維持が求められます。


【ポイント③】従業者の教育に追記が必要な項目

新しい規格では、従業者に対して「個人情報保護方針」を認識させる必要があります。従業者向けの教育の内容に「個人情報保護方針」が含まれているか否かが、審査の対象となります。


【ポイント④】運用の確認

従来の規格で定義されていた年一回の内部審査とは異なる、「日常的な運用確認」が新たに追加されました。管理者は日常業務の点検を定期的に実施し、気付いた点は適宜代表者へ報告する必要があります。


移行準備期間は2年!

次回の更新までに取得事業者の担当者がどのような対応を求められるかおわかりいただけましたでしょうか。

今回の移行期間は2018年8月1日から2020年7月31日までの2年間です。2年という期間はありますが更新完了の期日までに移行をするとなると、ある程度余裕をもって計画的に進めた方が良いでしょう。


運転免許証番号・要配慮個人情報を高速検索「P-Pointer」

弊社が提供する個人情報検出・管理ソリューション「P-Pointer」は、人名、住所、メールアドレスのほか、個人情報保護法改正にて個人識別符号として定義されたマイナンバーや、運転免許証番号、要配慮個人情報を高速で検索します。ファイルサーバやPCに保存されている個人情報を、漏れなく高速で検索・可視化した結果を出力することができるため、個人情報管理台帳にも活用することができます。


\P-Pointerで個人情報管理台帳を作成している事例はこちら/


\自身のPCの個人情報を「無料体験版」でチェック/


—参考情報—


 


関連ブログ


 

CONTACT

個人情報の管理はP-Pointerにお任せください。
まずは無料のお試し版を体験しませんか?

お電話でのお問い合わせはこちら
平日10:00~18:00
ご不明な点はお気軽に
お問い合わせください
サービスのお役立ち資料を
ご用意しています
無料体験版はこちらから
お申込みください

人気ブログランキング