セミナー・教育｜株式会社 エスケイワード コンサルティング事業部

PマークJIS Q 15001：2017についての解説 5

今回は、付属書C：（参考）安全管理措置に関する管理目的及び管理策について解説致します。

内容はISO27001の付属書Aとほぼ同じで、114の詳細管理策が書かれています。ISO27001の付属書Aでは、各管理策について「～しなければならない」と書かれていますが、プライバシーマークの付属書Cでは「～することが望ましい」とやや緩やかな記述になっています。

大項目の内容は以下の通りです。

• C.5　個人情報セキュリティのための方針群
• C.6　個人情報セキュリティのための組織
• C.7　人的資源のセキュリティ
• C.8　資産の管理
• C.9　アクセス制御
• C.10　暗号
• C.11　物理的及び環境的セキュリティ
• C.12　運用のセキュリティ
• C.13　通信のセキュリティ
• C.14　情報システムの取得、開発及び保守
• C.15　供給者関係
• C.16　個人情報セキュリティインシデント管理
• C.17　事業継続マネジメントにおける個人情報セキュリティの側面
• C.18　遵守

プライバシーマークの審査基準では付属書Aの内容が中心なので、ISO27001では付属書Aの内容を元に作成した適用宣言書の作成が必須となっています。
ですが、プライバシーマークの付属書Cの内容は、安全管理対策の推奨事項に関する参考になると思います。

次回は、付属書Dについて解説いたします。