先日、プライバシーマークの要求事項であるJISQ15001:2006の改訂案が日本産業規格のHPに公開され、意見受付が始まりました。
個人情報保護法が改正・施行され、「そろそろくるのでは…」と身構えていらっしゃった方も多いのではないかと思います。
現行版のJISQ15001は2006年のものなので、実に11年越しの改訂です。
現在はまだ意見受付公告中なので、今後ブラッシュアップが進むとは思いますが、今回は改訂内容の中でも特に大きく変更がなされるであろう3つのポイントに触れてみたいと思います。
(1)他のISOとの整合
すでに規格を読まれた方は気づいているかと思いますが、規格本文はISMSの規格であるISO27001(JISQ27001)の規格本文の内容を踏襲しています。
かなり酷似しているので、様々な意味で「大丈夫これ?」という疑念が生まれそうなところではありますが、PマークとISMS両方の認証を取得している企業、また、今後両方の取得をおこないたいと検討されている企業にとっては、ルールの統合等含め、取り組みがかなり円滑になるのではないかと思われます。
そういった点では、今後PマークとISMSのダブル認証取得が更に進む可能性もあるかと思います。
(2)旧JISQ15001内容の付属書への移行
元来、個人情報保護マネジメントシステムの取り組み内容になっていたものが、改訂案の規格では付属書Aの扱いになっています。
改訂案の規格本文の6.1.3ではリスクアセスメントの結果として付属書Aの内容を適用することが出来ることになっているので、取り組みの完成形のイメージが少しわかりにくい状態のように感じます。
また、規格本文と付属書Aでかぶっている部分もあるので、こちらは今後の見直しの中でどのように変わってくるか気になるところです。
(3)安全管理策の付属書C
改訂案の規格には、付属書が3つあり、その中の「付属書C」にこれまでのPマークで現場ルールとなっていた安全管理のルールが触れられています。
様々な側面における安全管理のための取り組みについて触れられていますが、付属書の扱いなので、どこまで企業が採用するかは各企業が任意に決めていくことが可能です。
本内容はJISQ27001の付属書Aを踏襲していますが、今後の意見受付公告中に様々な意見が出た結果変更となる可能性も考えられるので、引き続き注視する必要があります。
改訂案の規格を読まれた方の中には、いろいろなところで「?」が浮かんでよくわからなかった…という方も多いのではないかと思いますが、意見受付後の変更等も引き続きウォッチし、どのようにPのマークの規格が変わっていくのかを見守る必要があります。