■新審査基準への対応に向けて

先月は、「JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)」の
全体像について解説致しました。今月は、新審査基準(平成30年8月1日以降)への
対応に向けて、プライバシーマーク取得事業者がどのような準備をする必要があるか
について、ご説明します。

プライバシーマーク取得事業者は、以下に示す「必須対応項目(11項目)」と
「任意対応項目(10項目)」の内容をもとに、自社のPMSを再構築する必要があります


【必須対応項目(要求事項別)】
  1.要配慮個人情報(A.3.4.2.4 新設)
  2.トレーサビリティの確保(A.3.4.2.8.2、A.3.4.2.8.3 新設)
  3.オプトアウト規制の強化(A.3.4.2.8)
  4.外国事業者への第三者提供(A.3.4.2.8.1 新設)
  5.個人データの消去の努力義務(A.3.4.3.1)
  6.匿名加工情報(A.3.4.2.9 新設)
  7.台帳の整備(A.3.3.1)
  8.共同利用についての契約(A.3.4.2.8)
  9.委託契約、選定(A.3.4.3.4)
10.従業者に認識させる事項「個人情報保護方針」(A.3.4.5)
11.各部門及び階層における運用の確認(A.3.7.1)

【任意対応項目(要求事項別)】
  1.用語及び定義(審査全般)
  2.個人情報保護方針の追加(A.3.2.1、A.3.2.2)
  3.頻度の明確化(審査全般、A.3.3.1 他)
  4.個人情報保護監査責任者と個人情報保護管理者の分離(A.3.3.4)
  5.利用目的特定にあたっての配慮(A.3.4.2.1)
  6.A.3.4.2.4、A.3.4.2.5 個人情報の取得について
  7.安全管理措置(A.3.4.3.2、附属書C)
  8.書面で記述する要素「様式」(A.3.5.1)
  9.作成し、かつ、維持しなければならない記録(A.3.5.3a)~i))
10.監査員(A.3.7.2)

新審査基準で更新審査を受ける場合、上記「必須対応項目」について未対応であれば、
文書審査時の指摘事項に該当することになります。そのため、上記「必須対応項目」の
詳細内容を理解・把握することはもちろん、自社の内部規程や各種運用方法・帳票類の
見直し(若しくは新設)を順次進めていかなければなりません。

※任意対応項目につきましては、未対応であっても更新審査時の指摘事項には該当しない
ため、対応の有無は事業者の判断に委ねられます


次回は、上記「必須対応項目」の詳細内容についてお伝えしますので、引き続きご確認
くださいませ。