プライバシーマーク（JISQ15001）規格改正への対応

 　2017年12月にプライバシーマーク（以下、Ｐマークという）に関する日本工業規格「JISQ15001（個人情報保護マネジメントシステム-要求事項）」が改正されました。 Ｐマークは、JISQ15001の要求を満たし、個人情報について適正な保護体制を構築している事業者が使用を認可されるものです。現在、全国で約1万6千社、長野県内でも約100社が認可されています。17年5月にJISQ15001規格の上位法である「改正個人情報保護法」が施行され、その後、同規格も改正されました。Ｐマークを取得している事業者は、2018年8月1日から2020年7月31日までの移行期間をめどに、新規格による更新審査が必要になります。

 まず、「個人識別符号」の確認を

 　IT技術の発達、グローバル化、ビックデータの活用、防犯カメラの設置拡大等を背景に、保護すべき個人情報に「個人識別符号」が追加されました。個人識別符号とは、顔認証データ、指紋認証データ、旅券番号、マイナンバー等です。これらの追加情報が、自社が管理する個人情報として計上されているかを確認することが必要になります。

規定・帳票類等の見直しと変更

　新旧規格の違いを把握（ギャップ分析）する際は、規格中の実質的要求事項である「付属書Ａ」を中心に理解して下さい。ここでは主な留意事項を記載します。（１）要配慮個人情報（旧「特定の機微な個人情報」：思想信条、病歴他）を取得・利用・提供する際の書面同意。（２）個人データ を第三者に提供し又は第三者から取得する場合の確認、記録。（３）匿名加工情報（匿名加工した購買履歴や乗車履歴、ビッグデータ等）を利用するか否かの記載。上記以外にも変更・追加された項目は、規定類や帳票類、社内ルール等を変更する必要があります。

リスクアセスメントの実施

　新たに追加した個人情報や要求事項は、自社の業務フローと個人情報のライフサイクル（取得・入力→利用・加工→廃棄・消去等）に沿って、個人情報漏えいのリスクを分析、評価し、優先順位に応じた対策を構築し、記録します。リスクアセスメントの見直しにあたっては、規格中の「附属書Ｃ」を参考にし、安全管理策に漏れがないかチェックして下さい。

社員への教育

　規程類、安全対策の整備が完了したら、社員に新規格への移行宣言と教育を実施します。自社の個人情報保護方針の理解、各人の業務における個人情報取扱ルールをこの機会にしっかりと再認識させて下さい。

内部監査・マネジメントレビューの注意点

　新しい規格に基づいた運用を開始し、一定期間（半年以上が望ましい）経過したら、内部監査を行います。この内部監査では特に、個人情報の特定漏れがないか、自社の規定や帳票類に新たな要求事項が反映されているか注意して下さい。　内部監査実施後のマネジメントレビュー（社長への報告）には、報告事項に、個人情報保護に関する自社の課題の変化、利害関係者からのフィードバックなどが新たに追加されています。この点も注意して下さい。

移行は余裕をもって準備を

　以上のポイントを踏まえ、余裕をもった準備をお勧めします。Ｐマークの審査は2年に1回なので、中間の活動がおろそかになりがちです。今回の新規格への移行を、日頃の活動や社内体制の見直し、社員教育の機会として活用いただければよいでしょう。   　

 　　松本経営相談室　上席コンサルタント　牛山　浩 

 （本情報は、経済月報2018年10月号の「JISQ15001 規格改正への対応」に掲載した記事を加筆修正したものです）