今回は、「J.3.4 変更の計画策定」の要求事項に関する
審査基準変更のポイントについて、お伝えいたします。

本要求事項は、『PMS構築・運用指針(改定版)』によって、
唯一新たに追加された項番となります。

本要求事項では、「事業者は、個人情報保護マネジメントシステムの
変更の必要性に関する決定をしたとき、その変更を計画すること。」と定めています。

これは、個人情報保護マネジメントシステムの変更が必要になる場合に、
業務上の支障をきたさないよう、あらかじめ変更の計画を立てた上で実施することを
求めた要求事項です。

 
個人情報保護マネジメントシステムの変更が必要な例としては、以下の場面が想定されます。
①『PMS構築・運用指針』の改定等、審査基準に変更があった場合
②内部監査やマネジメントレビューの結果等を踏まえて、
 個人情報保護マネジメントシステムの変更が必要となる場合
③組織の状況の変化(合併・分社等の組織再編)があった場合

『個人情報保護マネジメントシステム導入・実践ガイドブック(JIS Q 15001:2023)
—PマークにおけるPMS構築・運用指針対応—』を見ますと、プライバシーマークの審査で
確認されるエビデンス例として、「トップインタビューによる説明」のみが挙げられており、
文書化することは要求されていません。

ただし、上記の例で挙げたような、個人情報保護マネジメントシステムの変更が生じた場合には、
変更に関するスケジュール表やガントチャートを作成するなどして、計画を立てて実施することが
望ましいでしょう。