セミナー・教育｜株式会社 エスケイワード コンサルティング事業部

PマークJIS Q 15001改正案の構成について

今回はJIS Q 15001改正案について、新たな構成がどう変わったかを解説いたします。

前回記事『JIS Q 15001改正について』はこちら

一言で言いますと、「ISO27001に近い内容になった」という事ですが、今回ISO27001と比べてどう変わったのでしょうか？
プライバシーマークの規格ですので、「個人情報保護マネジメントシステム」に用語が変更となっています。

今回の改正で2006年版の約倍のページ数で66ページとなっており、以下の項目となります。

（1）個人情報保護マネジメントシステム要求事項

ISO27001でいうMS部分（HLS）となります。
ISO27001との差異ですが、6.1.3 の項目でISO27001では『適用宣言書を作成する』という文言がありましたが、今回の項目はそれらの文言が無くなり『個人情報保護対応リスク計画を策定する』となっています。

（2）付属書A：（規程）管理目的及び管理策

JIS Q 15001の2006年版の内容から、今回の法改正に伴う内容（例：『匿名加工情報』）が追加されました。

変更点は、『個人情報保護方針』が『内部向け個人情報保護方針』『外部向け個人情報保護方針』と2つに分けられています。

今回の法改正に伴う内容が追加されています。

（3）付属書B：（参考）管理策の関する補足

管理策に対して、補足事項が記載してあります。
JIS Q 15001:2006　3.4.3.4の委託先の監督では、a～gの項目がありましたが、今回の改正案では、a～hと項目が１つ追加されました。追加された項目は、契約終了後の措置となります。
この改正案が通れば、契約終了後の措置が委託契約書の内容に盛り込まれているか、確認が必要となるでしょう。

（4）付属書C：（参考）安全管理措置に関する管理項目及び管理策

ISO27001の付属書Aとほぼ同じ内容です。（ISO27001を構築する際に、必要な適用宣言書の内容となっています。）
但し、ISO27001では、各管理策の最後の文言が『～しなければならない』と記載があるのが、今回の改正案では『望ましい』に変わっていました。

（5）付属書D：（参考）新旧対応票

新しい規格と旧規格の変更点が記載されています。
ISO27001に合わせて、プライバシーマークで使用していた『代表者、事業者の代表者』が『トップマネジメント』に変更。『代表者による見直し』は『マネジメントレビュー』等に変更となりました。用語としては、ISO規格の呼び方に変わったと考えてもよいでしょう。

まだ改正案の段階のため変更もあるかもしれませんが、ISOの内容と同じになるため、すでにISO規格のマネジメントシステムを構築済みの組織（品質の9001・環境の14001・情報セキュリティの27001等）でプライバシーマークの取得をご検討されている組織は、とてもわかりやすい規格なのではと思います。