2023年9月20日、プライバシーマークの規格であるJIS Q 15001が改訂され、JIS Q 15001:2023が公開されました。
プライバシーマークをすでに取得している企業の担当者からすると「とうとう来たか」という感じではないでしょうか。まさに2017年の改訂以来、6年ぶりの改訂になります。
そこで今回は、改訂されたJIS Q 15001について触れてみたいと思います。
改訂によって何が変わったのか
具体的に規格が改訂されたことにより、何が変わったのでしょうか。
簡単に言うと、下記のような点が挙げられます。
- PDCAサイクルに関する規定が附属書Aから一掃され、規格本文に集約された
- 附属書Aの内容は個人情報保護法が定める個人情報取扱事業者又は個人情報取扱事業者に準じる者の義務を含む管理策のみに絞られた
- 附属書Aの構成は、JISQ15001:2017では独自のものであったが、個人情報保護法に対応する構成に変更された
- 令和2年・3年改正された個人情報保護法にて、新設又は変更された個人情報取扱事業者又は個人情報取扱事業者に準じる者の義務が附属書Aに規定として追加された
- 附属書Bが規格本文の解説書になった
- 附属書Cが附属書Aの解説書になった
- 個人情報管理台帳で特定する対象がこれまでの「個人情報」のみから、匿名加工情報、仮名加工情報、個人関連情報まで拡大された
- 個人情報に、性生活、性的指向又は労働組合に関する情報が含まれる場合は、要配慮個人情報と同様に取り扱うこととなった
規格改訂によって審査はどう変わる?
プライバシーマークの審査は、個人情報マネジメントシステム構築・運用指針(以下、「構築・運用指針)という。)に基づいて行われます。
2022年4月1日以降、JISQ15001:2017に準拠し、かつ、令和2年、3年改正された個人情報保護法に準拠した構築・運用指針に基づいて審査が行われています。
構築・運用指針とは
プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針(以下、「構築・運用指針」という。)は、プライバシーマーク制度が、JIS ならびに個人情報保護法へ対応した個人情報保護マネジメントシステムの考え方および具体的な対応などを、事業者様にお示しするものです。
付与事業者様におかれましては、「構築・運用指針」に基づいて、個人情報保護マネジメントシステムの構築・運用をお願いいたします。
引用元:審査基準と構築・運用指針 – JIPDEC
JIS Q 15001:2023を踏まえて、2023年12月25日に「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針【JIS Q 15001:2023 準拠 ver1.0】」(以下、「構築・運用指針(改定版)」という。)が公表されました。
上記指針の公開に関連して、2024年3月5日に事業者向けのガイドブックである「個人情報保護マネジメントシステム導入・実践ガイドブック(JIS Q 15001:2023)—PマークにおけるPMS構築・運用指針対応—」が発刊されています。
また、2024年4月19日にはJIPDECのサイトにて構築・運用指針(改定版)解説動画が公開されています。
今後のスケジュールについては、JIPDECより次のように発表されています。
引用元:制度関連のNEWS|構築・運用指針の改訂について – JIPDEC
- 2024年7月~8月 :申請様式の公表
- 2024年10月1日 :構築・運用指針(改定版)に基づいた申請の受付開始
つまり、2024年10月1日以降に申請された事業者は、構築・運用指針(改定版)に基づいた審査が行われます。
自社のPマーク取得/更新タイミングや、各種情報公開のスケジュールに鑑みつつ、新規格対応を進めましょう。
規格はどこで手に入れることが出来るのか
規格は、発行元の日本規格協会(JSA)WebサイトからPDFでの購入が可能です。
また、日本工業標準調査会(JISC)のWebサイトからJIS Q 15001を検索すると、閲覧だけは可能になっています。
