2018年8月1日からJISQ15001:2017(以下、新規格)での申請受付が始まり、早3ヶ月となります。
LRMでも8月1日以降、新規格で申請をおこなわれたお客様が多数おられ、9月下旬以降、順次現地審査を受けられました。
Pマークをお持ちの企業様にとっては「新規格の審査って何を聞かれるの?」「ひとまず旧規格で申請して、次回新規格で申請すれば良いかな?」など、様々お悩みがあるかと思います。
そこで今回は新規格審査の経験談を、コンサルタントという立場からご紹介いたします。
文書審査
まず文書審査ですが、新規格の項番どおりのチェックリストが用いられるようになったことはもちろんですが、受審する組織が取り組んでいる「活動」に関する確認事項が新たに追加されていることも注目すべきポイントです。
例えば、「個人情報保護リスクを特定し、リスク分析をしていること」という内容について審査をする場合、「規程にどう書かれているか」だけではなく、「Pマーク上求められる取り組み内容が実施されているか」も含めてチェックがおこなわれます。
とはいえ、文書審査の中でこの「活動」についての審査をおこなうことは事実上不可能なため、「現地審査で確認します」という形で適合・不適合の判断は保留になります。
とある審査機関の文書審査では、この現地確認が40個ほどになっていたこともあり、コンサルタントとしてはかなりビックリしましたが、逆に現地審査で確認される内容がわかりやすく明確になったとも言えます。
ただ、別の審査機関では上記のような「活動」については触れず、旧規格の文書審査の項目に新規格用の項目が+αされただけの文書審査チェックリストが届いたこともあり、現状では審査機関によってそれぞれ対応が異なっているようです。
現地審査
では、皆さんが一番気になっているであろう現地審査ですが、現時点ではこれまで通りの審査と変わらないと考えて大丈夫です。
現地審査では、文書審査の結果で「現地確認」となっている項目について、「回答の根拠となる資料の確認」「回答内容の用意」が必要となります。
一部、新規格で新しく「現地確認」が必要となった項目がありますが、さほど警戒の必要はないと考えています。
例えば新しく追加された項目に「トップマネジメントは個人情報保護目的を説明できること」というものがあります。
トップマネジメントは社長を指しますが、個人情報保護の取り組みをおこなっている理由の説明を事前に社長におこなっておけば、問題はありません。
もちろん、新規格で新しく増えた項目「外国への第三者提供」、「匿名加工情報」などが取り組み上発生していれば、現地審査の中で確認される対象となりますので、「発生事実の有無」や「(発生しているのであれば)ルールで定めた内容の取り組み」を示す必要があります。
現時点でLRMのお客様にて「新規格固有の指摘事項が出た」という事実は確認されていませんが、新規格において求められているものについては書式等で明確にしておかないと、指摘の対象になる可能性があるので注意が必要です。
例えば、新規格では教育において「個人情報保護方針」を従業者に認識させる必要があります。
そのため、教育時に「個人情報保護方針」について何らかの形で周知できていないと、不適合になる可能性があります。
審査を終えてみて
文書審査・現地審査を終えてみて、「新規格の審査に対してそこまで身構えなくとも大丈夫」という感想を持ちました。
今後、審査員の方が審査経験を積まれる中で、新規格固有の指摘が増えてくる可能性はありますが、きちんと新規格の内容を把握し、取り組みをおこなっていれば「更新出来ない」「新規取得出来ない」ということはありませんので、新規格対応でお悩みの方はお気軽にLRMまでご相談ください。