成功する中小企業の人材育成 ここがポイント

名南経営コンサルティング 山田亮太 公式ブログ


■新審査基準への対応に向けて

 前回は、「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」の
「必須対応項目」及び、「任意対応項目」について解説致しました。
今回は、上記「必須対応項目」の一つである、要配慮個人情報(A.3.4.2.4新設)について、
ご説明します。

 

 平成295月に施行された改正個人情報保護法におきまして、「要配慮個人情報とは、
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他
本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮
を要するものとして政令で定める記述等が含まれる個人情報をいう」と、新たに定めら
れました。

要配慮個人情報(A.3.4.2.4)は、「JIS Q 15001:2006 3.4.2.4 特定の機微な個人情報
の取得、利用及び提供の制限」と概ね同様の取扱いが求められますので、現状のPMS運用
ルールを大きく変更する必要はありません。

しかし、特定の機微な個人情報と要配慮個人情報の定義が、若干異なる点に注意する必要
があります。

 

●「特定の機微な個人情報」の定義

 ・思想、信条又は宗教に関する事項

・人種、民族、門地、本籍地(所在都道府県に関する情報を除く。)、身体・精神障害、
犯罪歴その他社会的差別の原因となる事項

・勤労者の団結権、団体交渉その他団体行動の行為に関する事項

・集団示威行為への参加、請願権の行使その他の政治的権利の行使に関する事項

・保健医療又は性生活に関する事項

 

●「要配慮個人情報」の定義

 ・信条に関する事項

 ・人種、社会的身分、身体・知的・精神障害、犯罪の経歴、犯罪により害を被った事実
 に関する事項

 ・刑事事件、少年の保護事件の手続に関する事項

・健康診断の結果、病歴、医師等による保健指導・調剤・診療に関する事項

 

プライバシーマーク取得事業者においては、上記を確認した上で、

 ①要配慮個人情報(A.3.4.2.4)に関する内部規程の改訂

 ②定義変更に伴う、要配慮個人情報の存否確認(個人情報を管理するための台帳の見直し)

を実施する必要があります。

 



■新審査基準への対応に向けて

先月は、「JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)」の
全体像について解説致しました。今月は、新審査基準(平成30年8月1日以降)への
対応に向けて、プライバシーマーク取得事業者がどのような準備をする必要があるか
について、ご説明します。

プライバシーマーク取得事業者は、以下に示す「必須対応項目(11項目)」と
「任意対応項目(10項目)」の内容をもとに、自社のPMSを再構築する必要があります


【必須対応項目(要求事項別)】
  1.要配慮個人情報(A.3.4.2.4 新設)
  2.トレーサビリティの確保(A.3.4.2.8.2、A.3.4.2.8.3 新設)
  3.オプトアウト規制の強化(A.3.4.2.8)
  4.外国事業者への第三者提供(A.3.4.2.8.1 新設)
  5.個人データの消去の努力義務(A.3.4.3.1)
  6.匿名加工情報(A.3.4.2.9 新設)
  7.台帳の整備(A.3.3.1)
  8.共同利用についての契約(A.3.4.2.8)
  9.委託契約、選定(A.3.4.3.4)
10.従業者に認識させる事項「個人情報保護方針」(A.3.4.5)
11.各部門及び階層における運用の確認(A.3.7.1)

【任意対応項目(要求事項別)】
  1.用語及び定義(審査全般)
  2.個人情報保護方針の追加(A.3.2.1、A.3.2.2)
  3.頻度の明確化(審査全般、A.3.3.1 他)
  4.個人情報保護監査責任者と個人情報保護管理者の分離(A.3.3.4)
  5.利用目的特定にあたっての配慮(A.3.4.2.1)
  6.A.3.4.2.4、A.3.4.2.5 個人情報の取得について
  7.安全管理措置(A.3.4.3.2、附属書C)
  8.書面で記述する要素「様式」(A.3.5.1)
  9.作成し、かつ、維持しなければならない記録(A.3.5.3a)~i))
10.監査員(A.3.7.2)

新審査基準で更新審査を受ける場合、上記「必須対応項目」について未対応であれば、
文書審査時の指摘事項に該当することになります。そのため、上記「必須対応項目」の
詳細内容を理解・把握することはもちろん、自社の内部規程や各種運用方法・帳票類の
見直し(若しくは新設)を順次進めていかなければなりません。

※任意対応項目につきましては、未対応であっても更新審査時の指摘事項には該当しない
ため、対応の有無は事業者の判断に委ねられます


次回は、上記「必須対応項目」の詳細内容についてお伝えしますので、引き続きご確認
くださいませ。



■新規格(JIS Q 15001:2017)の全体像

JIS Q 15001:2017」は、他のマネジメントシステム規格との近接性を保つことを目的に
改正されたため、規格全体の構成が、以下の通り大きく変わっています。

------------------------------------------------------------------------------------------

JIS Q 15001:2006 規格構成 …「本文」、「解説」

JIS Q 15001:2017 規格構成 …「本文」、「附属書A」、「附属書B」、「附属書C」、「附属書D

------------------------------------------------------------------------------------------

JIS Q 15001:2017 「本文」
他のマネジメントシステム規格の章構造や用語の定義などを統一するための共通テキスト
(附属書SL)です。ISO 9001(品質)、ISO14001(環境)、ISO 27001(情報セキュリティ)等を
運用している組織は、規格や帳票を集約し、書類をスリム化することが出来ます。


JIS Q 15001:2017 「附属書A

旧規格(JIS Q 15001:2006)の「本文」に該当し、改正個人情報保護法に対応した要求事項が
示されています。


JIS Q 15001:2017 「附属書B

旧規格(JIS Q 15001:2006)の「解説」に該当し、「附属書A」の補足及び推奨事項が明記
されています。


JIS Q 15001:2017 「附属書C

3.4.3.2安全管理措置の理解を深めることを目的とした参考資料です。リスクと管理策の具体例が
明記されているため、この中から適宜選択して利用することもできます。


JIS Q 15001:2017 「附属書D

新規格と旧規格の対応表が記載されています。

結論としては、「附属書A」を読み解いて、自社に合うよう、内部規程を改訂すれば問題ない、という
ことです。


このページのトップヘ