構築・運用指針で変更になった点としては、おおむね以下2点となります。
・JISQ15001 規格本文の内容に基づく、ISMS的な要素の追加
・改正個人情報保護法(令和2年改正)の内容追加
【JIS本文の追加】
現行のJISQ15001は2017年に改正されたものですが、その際に規格全体の構造が大きく変更となりました。
構造上の最大の変更点は、従来の本文が付属書Aとなり、新たな本文が追加されたことです。この新たな本文は、ISMS認証の準拠規格であるISO27001を含む、他のISO規格の本文に近いものとなっており、プライバシーマークにおいてもISMSの要素が導入されることで、より高いレベルのマネジメントシステムの構築が期待されました。
しかし、従来の基準である付属書Aの内容と整合性を保った解釈が難しい箇所があるからか、プライバシーマークの旧審査基準では主にJISQ15001:2017の付属書Aが対象となっており、JIS本文の要求事項は事実上無視されていました。
今回の「構築・運用指針」では、この JIS本文の内容が明確に記載されるようになりまし
た。
代表的な変更点としては下記のようなものが挙げられます。
・個人情報保護目的およびその実現のための計画策定
・リスクアセスメントにおける、残留リスクの定量的分析および対応計画策定
・個人情報保護上の役割に応じた力量管理
・個人情報保護活動に関するパフォーマンス評価
これらの内容は、ISMS等の認証を取得している企業様は既に理解されている部分かと思
いますが、プライバシーマークのみを取得している企業様の場合は、審査基準で明確に求
められていなかったこともあり、実運用を含めてあまり対応ができていないケースがほと
んどとなります。
[改正個人情報保護法対応の追加]
改正個人情報保護法は2022年4月より施行されているため、構築・運用指針にも当然そ
の改正内容が盛り込まれています。
新しく定義された個人関連情報や仮名加工情報の他、事故報告の義務化、開示請求の対応
方法や請求対象の変更等、既存の運用にも影響のある改正内容があるため、全く無関係と
いう企業様は基本的にありません。
