「JIS Q 15001：2017」のガイドラインで文書構成を確認

本文

「JIS Q 15001：2017」では、「マネジメントシステムの規格」としての位置づけを明確にするため、「ISO/IEC 専門業務用指針, 第1部 総合版ISO補足指針 – ISO専用手順の付属書SL（以下、付属書SLと表記。）」への適応を行いました。

付属書SLとは、ISO等で使用される「マネジメントシステム」についての汎用的な（上位の）要求事項で、他のマネジメントシステム規格である、ISO27001（ISMS）、ISO9001（QMS）、ISO14001（EMS）でも採用されている基準です。

この対応により、各マネジメントシステム規格との整合性が確保されるようになりました。

「本文」ではこの付属書SLに対応する形で、要求事項と用語の定義などを規定しています。

付属書A（規定）管理目的及び管理策

先述の本文がマネジメントシステム共通の要件なのに対して、付属書Aは、「個人情報保護」にフォーカスした固有の要求事項が記載されています。

プライバシーマークに適合するための具体的な取り組みや内部規程は、この付属書Aの内容に従って策定していきます。「A.3.1 一般」から始まり、「A.3.8 是正処置」まで、要求事項が記載されていますので、各条文を踏まえて組織内での取り組みを定めます。

付属書B（参考）管理策に関する補足

付属書Bは、先述の付属書Aに対しての補足事項集です。旧規格（JIS Q 15001：2006）の解説、経済産業分野ガイドライン等をベースにした補足や推奨事項がまとめられています。

すでに旧規格（JIS Q 15001：2006）でプライバシーマークを運用していて、次回更新時に本規格「JIS Q 15001：2017」への移行を予定している組織においては、すでに対処されている内容だと思いますので、あくまで参考資料としての位置づけで問題ありません。

新規申請を行う場合には、マネジメントシステム構築ための重要な資料になります。

付属書C（参考）安全管理措置に関する管理目的及び管理策

安全管理措置（個人情報保護リスク対策）立案のための参考安全管理策集です。ISMS（情報セキュリティマネジメントシステム）の規格「JIS Q 27002：2014（情報技術-セキュリティ技術-情報セキュリティ管理策の実践のための規範）」の内容を抜粋・調整して作成されました。

内容を確認すると、一見具体的な安全管理策を例示しているように見えますが、表現に汎用性を持たせてあるので、実施するシーンや内容が掴みにくい箇所が多くあります。なので、とりあえずはどのような項目がインデックスされているのか概観する程度で問題ありません。
安全管理措置を講じる際に必要に応じてチェックするなど、現実的な方法で利用すれば良いと思います。

付属書D（参考）JIS Q 15001 新旧対応表

「JIS Q 15001」の2006年版と2017年版の新旧対応表です。
新旧の条文と用語がそれぞれどのように対応しているか、表形式で分かりやすくまとめられています。

新規にプライバシーマーク申請を行うのであれば特に必要ありませんが、すでにプライバシーマークを運用していて、2017年版への移行を予定している場合は、内部規程の更新などで必要になると思います。

おわりに

以上、「JIS Q 15001：2017」の構成要素をそれぞれ見ていきました。

詳細については、以下の公式ガイドラインに記載されていますので、合わせてご参照ください。

参考書籍 – Amazon.co.jp

個人情報保護マネジメントシステム導入・実践ガイドブック(JIS Q 15001:2017) 第2版: PマークにおけるPMS構築・運用指針対応

プライバシーマークの審査ポイントを抑え、「JIS Q 15001:2017」の条文を詳しく解説した公式ガイドブック。