【1】プライバシーマークの新審査基準審査の開始

2021年8月にJIPDECより「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」が初めて公表され、改正個人情報保護法の内容も反映した改訂版が2022年2月に公開されました。

プライバシーマーク付与適格性審査基準も一新され、上記の「構築・運用指針」に沿って審査をおこなう内容に変更となりました。

令和4年の改正個人情報保保護法の施行と合わせたタイミングで、2022年4月以降「構築・運用指針」に沿ってプライバシーマークの審査がおこなわれることとなります。
2022年4月以降にプライバシーマークの新規・更新申請をおこなう企業は全て新審査基準での審査となります。

(出典:JIPDEC)

【2】構築・運用指針の概要

構築・運用指針で変更になったのは大きく以下となります。

・JISQ15001 規格本文の内容についての審査基準への追加

・改正個人情報保護法(令和2年改正)内容の反映

[JIS本文の追加]

Pマークの規格であるJISQ15001:2017自体は2017年に改正されていましたが、プライバシーマークの旧審査基準では主にJISQ15001:2017の附属書Aが対象となっており、明確にJIS本文の要求事項が記載されていませんでした。

今回の改正ではJIS本文の内容が明確に記載されるようになり、個人情報保護目的の計画策定、外部・内部の課題の明確化、パフォーマンス評価等について新たな項目が追加となっています。
これらの内容はISMSやQMS等他のISO規格本文とほぼ同様であるため、ISMS等の認証を取得している企業様は既に理解している部分かと思います。

プライバシーマークのみを取得している企業様はJISQ15001:2017に記載はあったものの、審査基準で明確に求められていなかったこともあり、
実運用を含めてあまり対応ができていないケースがほとんどとなります。

[改正個人情報保護法対応の追加]

改正個人情報保護法は2022年4月より施行されるため、構築・運用指針にも改正個人情報保護法改正の内容が取り込まれました。
新しく定義されている個人関連情報や仮名加工情報、開示請求等に関する項目等複数の基準が追加されています。

【3】新審査基準への対応コンサルティングサービス

構築・運用指針による新審査基準の開始により、プライバシーマーク取得事業者様は新審査基準に合わせた文書改訂・運用変更が求められることになります。
新しく追加された項番順に規程を大幅に改訂したり、抜本的に運用を変更する等の対応は必要なく、マネジメントシステム自体の大きな変更までは求められていませんが、追加された項目等に対しての文書改訂や運用変更は当然必要となってきます。

改正個人情報保護法対応については既に対応済みの企業様も多いですが、JIS本文への対応についてはどこまで何をするべきか困っている企業様も多く見受けられます。

インターネットプライバシー研究所では「構築・運用指針」、新審査基準の開始による文書改訂・運用変更支援のコンサルティングサービスをおこなっています。

まだ新審査基準への対応をおこなっていないお客様やある程度自社にて対応済なためレビューが必要なお客様等、それぞれのお客様の状況に応じてカスタマイズしたサービスを提供しております。
特に今回のような審査基準変更の際に、既存文書を運用に合わせて改めて見直すことや、運用の改善のために運用方法を見直す等も非常に効果的です。

文書改訂はやはり手間がかかるものですので、今まで課題となっていた文書や運用の見直しもこれと合わせておこないたい場合のコンサルティングサービスも提供しておりますのでぜひご相談ください。