JIS Q 15001:2023への改正に伴い、2024年10月以降に審査申し込みをする場合は、
JIS Q 15001:2023準拠のPマーク構築・運用指針への適合が必要になります。
(JIPDECからの案内→https://privacymark.jp/guideline/outline.html)
以下、JIPDEC解説動画から抜粋して説明します。
変更点サマリ
今回の改訂は個情報の改訂に伴うものではないため、追加対応はほぼ不要です。
ただし、規程体系の修正、内部監査項目の修正は必要です。
- 新規追加になった条項:J.3.4
-
内容修正となった条項:ほぼすべて(以下、代表的な項番を抜粋)
- 追加対応がマストで必要な事項:なし
- 場合によっては追加対応が必要な事項:J.8.3、J.8.8.4、J.8.9、J.8.10 ←詳細後述
- 要件が削減された事項:J.8.7、←詳細後述
-
定義の厳密化がメインであり、基本的には
追加対応不要な事項:J.3.1.1、J.3.1.3、J.4.4.2、J.8.8、J.9.2、J.10.2、J.10.7、J.11.1
変更点詳細
新規追加になった条項
J.3.4 変更の計画策定
変更が発生した際に、再計画を立てればOKです。
場合によっては追加対応が必要な事項
J.8.3 要配慮個人情報などの取得
明示と同意が厳密化されました(大きな変更はない)
重要な点として、要配慮個人情報の定義が拡大しました(すでに取得済みの個人情報の点検が必要です)
J.8.8.4 個人関連情報の第三者提供の制限等
本人への同意事項の詳細が、個情法の上乗せ要件として厳密化されました(項目詳細はPマーク構築運用指針をご覧ください)
J.8.9 匿名加工情報
加工途中に使用した突合せ情報(仮ID)を削除する必要があります。
J.8.10 仮名加工情報
取扱有無を規程に記載する必要があります。
ただし匿名加工情報では以前よりこの指定があり、仮名加工情報もすでに踏襲されていることが多く、その場合は対応不要です。
要件が削減された事項
J.8.7 本人に連絡または接触する場合の措置
個情法の上乗せ要件だった、本項「共同利用時の本人同意」が不要になりました。
厳密化がメインであり、基本的には追加対応不要な事項
- J.3.1.1 個人情報の特定:個人情報管理台帳の「数量」
- J.3.1.3 個人情報保護リスクアセスメント:リスク観点の追加(漏えい、滅失又はき損等以外)
- J.4.4.2 緊急事態への準備:事故報告先の特定
- J.8.8 個人データの提供に関する措置:個情法のオプトアウト要件(利用の停止、個情委への届出)
- J.9.2 安全管理措置:外部サービス提供事業者の選定時の評価
- J.10.2 開示等の請求等に応じる手続き:本人確認のための情報提示を求めることができる
- J.10.7 保有個人データの利用または提供の拒否権:個情法と整合(多額の費用を要する場合)
- J.11.1 苦情及び相談への対応:認定個人情報保護団体の連絡先を公表
SecureNaviのシステム対応
設定参考情報>規格の設定から、Pマーク構築・運用指針のJIS Q 2017準拠版と、2023準拠版の両方を切り替えて利用することができます。2024年6月13日以前にSecureNavi環境を発行差し上げた場合、「JIS Q 2017準拠版」となっている可能性が高いため、適宜切り替えを行なってください。
(本操作は、パワーユーザ権限に限定しています)
切り替えに伴って、PMS基本規程と、内部監査画面にて、
Pマーク構築・運用指針に該当する箇所が「2017準拠版↔︎2023準拠版」で切り替わります。
特にPMS基本規程は、既存の内容を上書きするのではなく、別データとしてご用意しております。
切り替え後に内容をご確認いただき、問題なければ文書一覧より、新しい版としてPMS規程を作成、承認ください。
補足:新規格対応に向け、修正が必要な場合がある項目について
一部環境について、以下の通り「PMS基本規程」、「PMS個人情報保護規程」の修正が必要です。
大変お手数ですが、「正」の情報となっているかご確認いただき、誤っている場合には修正をお願いいたします。
修正は「社内ルール・文書」>「PMS基本規程」および、「社内ルール・文書」>「PMS個人情報保護規程」から実施してください。
- PMS基本規程
「J.8.8.1 外国にある第三者への提供の制限」
→3.
→ l)
→誤:3) a) による確認の頻度及び方法
正:3) j) による確認の頻度及び方法
→誤:7) 前号の支障に関して、b) により講ずる措置の概要
正:7) 前号の支障に関して、k) により講ずる措置の概要
- PMS個人情報保護規程
「内部監査(J.6.2)」
→誤:3. 個人情報保護管理者は、SecureNavi「内部監査」の内容をトップマネジメントへ報告し、承認を得る。
正:3. 個人情報保護監査責任者は、SecureNavi「内部監査」の内容をトップマネジメントへ報告し、承認を得る。
「個人情報取扱(J.8.1 ~ J.8.8.4))」
→12.4 提供・受領(J.8.8 ~ J.8.8.3)
→誤:「PMS基本規程_J.8.8.2),3)または、J.8.3.3)」
正:「PMS基本規程_J.8.8.2)」
「個人情報取扱(J.8.1 ~ J.8.8.4))」
→12.5 個人関連情報の第三者提供の制限など(J.8.8.4)
→誤:「PMS基本規程_J.8.3.2) a) ~ d) 、又は、J.8.3.3) j) ~ l) 」
正:「PMS基本規程_J.8.8.2) f) ~ l)」
他の項目も含めて文書の確認・修正が完了しましたら、「社内ルール・文書」>「文書」にて「PMS基本規程」、「PMS個人情報保護規程」の承認を実施してください。