プライバシーマーク指針改定対応支援のご案内(JIS Q 15001:2023準拠版)
移行スケジュール
2024年10月1日から「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針 JIS Q 15001:2023準拠版」(以下「新指針」)を適用しての申請が必要です。
※2024年9月30日までは現行指針での申請となります。
JIPDECホームページ「構築・運用指針の改定について」もご参照ください。
改定概要
新たな要求事項や趣旨が変わるような要求事項の変更は殆どありません。変更点は多いのですが、大半が用語や文章表現の変更、要求事項の統合、要求事項の移動といったような形式的な変更に留まります。したがいまして、PMS文書の改定は必要となりますが、前回の指針改定時(2022年4月1日から適用された改定)ほどの工数は要しないとお考えください。
変更がある要求事項一覧
変更がある要求事項を一覧にしました。「ピックアップ」の項目は、解説を加えます。
| 項番 | 要求事項 | ピックアップ |
|---|---|---|
| J.1.4 | 個人情報保護マネジメントシステムの適用範囲の決定 | |
| J.1.5 | 個人情報保護マネジメントシステム | |
| J.2.2 | 個人情報保護方針 | |
| J.3.1.1 | 個人情報の特定 | |
| J.3.1.3 | 個人情報保護リスクアセスメント | 1 |
| J.3.1.4 | 個人情報保護リスク対応 | |
| J.3.4 | 変更の計画策定 ※新設要求 | 2 |
| J.4.2 | 力量 | |
| J.4.4.2 | 緊急事態への準備 | 3 |
| J.4.5.4 | 内部規程 | |
| J.4.5.5 | 文書化した情報のうち、記録の管理 | 4 |
| J.5.1 | 運用 | |
| J.6.1 | 監視、測定、分析及び評価 | |
| J.6.2 | 内部監査 | 5 |
| J.6.3 | マネジメントレビュー | |
| J.7.1 | 不適合及び是正処置 | |
| J.8.3 | 要配慮個人情報などの取得 | 6 |
| J.8.4 | 個人情報を取得した場合の措置 | |
| J.8.5 | J.8.4のうち本人から直接書面によって取得する場合の措置 | |
| J.8.6 | 利用に関する措置 | |
| J.8.7 | 本人に連絡又は接触する場合の措置 | 7 |
| J.8.8 | 個人データの提供に関する措置 | 8 |
| J.8.8.1 | 外国にある第三者への提供の制限 | |
| J.8.8.2 | 第三者提供に係る記録の作成等 | |
| J.8.8.3 | 第三者提供を受ける際の確認等 | |
| J.8.8.4 | 個人関連情報の第三者提供の制限等 | 9 |
| J.8.9 | 匿名加工情報 | |
| J.8.10 | 仮名加工情報 | 10 |
| J.9.2 | 安全管理措置 | 11 |
| J.10.3 | 保有個人データ又は第三者提供記録に関する事項の周知など | |
| J.10.4 | 保有個人データの利用目的の通知 | |
| J.10.5 | 保有個人データ又は第三者提供記録の開示 | |
| J.10.6 | 保有個人データの訂正、追加又は削除 | |
| J.10.7 | 保有個人データの利用又は提供の拒否権 | |
| J.11.1 | 苦情及び相談への対応 |
ピックアップ1 「J.3.1.3 個人情報保護リスクアセスメント」
- 1. 第1項の「個人情報に関するリスク」⇒「個人情報保護リスク」に変更されました。
- 2. 第1項の「リスク」⇒「個人情報保護リスク」に変更されました。
- 3. 第1項「手順」⇒「定めた手順」に変更されました。
第1項a)のリスク基準に1)として「本人の権利利益の侵害」が追加されました。 - 4. 第1項3)が「漏えい、滅失又はき損等」を基準としていたところを、「個人情報の漏えい、紛失、滅失・毀損、改ざん、正確性の未確保、不正・不適正取得、目的外利用・提供、不正利用、開示等の求め等の拒否」に変更されました。
- 5. 新第3項として、「文書化した情報(分析評価手順)を利用可能な状態にすること」が追加されました。
- 6. 留意事項が追加されました。
ピックアップ2 「J.3.4 変更の計画策定」
新設要求事項ですが、目新しい内容ではありません。方針や規程等の文書の改定や、役割の変更、計画の変更等、PMSを変更する場合は、場当たり的に変更するのではなく、変更の影響を考慮したうえで、適切な手順(承認手順等)を経て行うことを要求しています。
現行でも場当たり的な変更は行っていないはずなので、特段新たなプロセスを構築する必要は無いはずです。例えば、「内部監査⇒内部監査結果をマネジメントレビューで報告⇒トップマネジメントからの指示に基づいて変更」といったプロセスや、日常の業務の中で「変更の必要性を発見⇒個人情報保護管理者に報告⇒個人情報保護管理者の承認を得て変更」といったプロセスも計画的な変更となります。
ISOの附属書SLと整合を取るようにJISQ15001が改正された影響による新設と考えられます。
ピックアップ3 「J.4.4.2 緊急事態への準備」
- 1. 新1項として「事業者は、緊急事態が発生した場合に報告等が必要となる関係機関及び利害関係者をあらかじめ特定すること。」が追加されましたが、実態上は既に特定されていると思われます。
- 2. 旧2項の内容(「個人情報保護リスクを考慮し、その影響を最小限とするため・・・」)が新2項の冒頭に統合されました。旧1項と旧2項が統合されましたが、趣旨は変わりません。
- 3. 旧3項のa) 「漏えい、滅失又はき損等」が「緊急事態」という表現に変更されましたが、留意事項に変更が無いため趣旨は変わりません。
- 4. 旧3項のa)の「本人が容易に知り得る状態に置く」が削除されたため、原則通知が必要となりました(ホームページで公表するといった対応は原則不可)。ただし、「留意事項」に「本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときはこの限りではない」とあるため、例外は存在し、「代わるべき措置」はホームページ上への公表といった措置と考えられます。
- 5. 旧3項のc)の報告先に「利害関係者」が追加されました。利害関係者は留意事項に委託元や委託先、グループ会社と例示されています。
ピックアップ4 「J.4.5.5 文書化した情報のうち、記録の管理」
- 1. 旧2項a)とb)の順序が逆転されました。
- 2. 2項c)の表現が変更されました。
- 3. 旧2項d)~f)が新2項d)に統合され、新2項d)に「3)第三者提供に係る記録」「4)第三者提供に関する開示等の請求等への対応記録」「5)個人情報の適正管理への対応記録」が追加されました。※適正管理とは、データ内容の正確性確保、安全管理措置、従業者の監督、委託先の監督等を指す。
- 4. 新2項g)として「緊急事態への対応記録」が追加されました。
- 5. 旧2項i)の「運用の確認の記録」が新2項h)として「監視、測定、分析及び評価の記録」に変更されました。
- 6. 旧2項j)の「内部監査報告書」が新2項i)として「内部監査の記録」に変更されました。
- 7. 旧2項k)の「是正処置の記録」が新2項k)「不適合及び是正処置の記録」に変更されました。
ピックアップ5 「J.6.2 内部監査」
- 1. 本項全般の「監査」⇒「内部監査」に変更されました。
- 2. 2項 a)の「事業者が規定した要求事項及び」⇒「事業者の内部規程(事業者自身が規定した要求事項を含む) が」に変更されました。
- 3. 3項 d)の明確にする対象に「監査目的」が追加されました。
- 4. 旧3項 g)の「文書化した情報を保持する」⇒新4項として「文書化した情報を利用可能な状態にする」に変更されました。
- 5. 留意事項が追加されました。
ピックアップ6 「J.8.3 要配慮個人情報などの取得」
- 1. 表題の「要配慮個人情報」⇒「要配慮個人情報などの取得」に変更されました。「など」に該当するのは、後述の「性生活、性的志向又は労働組合に関する情報」です。また、取得にフォーカスされたため、利用についてはJ.8.6 、提供についてはJ.8.8で触れています。
- 2. 1項に、「あらかじめ書面によって」取得・利用・提供する旨を明示する必要がある旨が追加されました。
- 3. 2項の「取得、利用する際」⇒「取得する際」に変更されました。
- 4. 2項 f)の「取得又は利用する場合」⇒「取得する場合」に変更されました。
- 5. 同意を得ることを要しない場合として、旧2項 g)で一括して「保護法27条5項に掲げる場合」としていた内容を、新「g)受託の場合」「h)合併等の事業承継の場合」「i)共同利用の場合」に分割して具体的に表記されました(分割したのみで趣旨は変わらない)。
- 6. 旧2項 i)の「取得し、利用する」が「取得する」に変更されました。
- 7. 新3項として「個人情報に、性生活、性的志向又は労働組合に関する情報が含まれる場合には、当該情報を要配慮個人情報と同様に取り扱うこと」を新設し、要配慮個人情報と同様に扱うことが要求されるようになりました。
- 8. 旧3項の要配慮個人情報を提供する際の同意に関する要求が削除され、J.8.8に集約されました。
- 9. 留意事項が追加されました。
ピックアップ7 「J.8.7 本人に連絡又は接触する場合の措置」
- 1. 2項 c)の「組織」⇒「事業者」に変更されました。
- 2. 2項 d)に「適法かつ公正な手段によって、共同して利用されている場合」との前提が追加されました。
- 3. 2項 d)に「共同して利用する者との間で共同利用について契約によって定められているとき」との前提が追加され、契約内容を契約書等の文書で示すことが必須となりました。なお、旧J.8.7において提供の際に契約が求められていたのが削除され、本項で明示されるようになりました。
- 4. 2項 d)の本人に通知する事項から旧「6)取得方法」が削除されました。
- 5. 2項 e) の趣旨は変わりませんが、表現が変更されました。※利用目的が明らかな場合の取得です。
- 6. 2項 f)の趣旨は変わりませんが、J.8.3d)を参照してところを直接的にf)~i)に分割して記載されました。
- 7. 留意事項が追加されました。
ピックアップ8 「J.8.8 個人データの提供に関する措置」
- 1. 2項 b)の前提条件が追加されました(本人の要求により提供を停止していることを条件に追加)。
- 2. 2項 b)の「それに代わる同等の措置を講じているとき」⇒「本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たとき」と具体化して変更されました。
- 3. 旧3項で示されていた要配慮個人情報等の除外対象が、新2項 b)に移行されました。
- 4. 2項 b) の通知内容1)が「第三者への提供を行う」者と明確化されました。
- 5. 同項 旧6)が新2項 4)に移行されました。
- 6. 同項 旧5)の「請求など」⇒新2項 6)「求め」に変更されました。
- 7. 同項 7)の「本人からの請求など」⇒「本人の求め」に変更されました。
- 8. 同項 8)を新8)と9)に分割して具体化されました。
- 9. 旧2項 c)が削除されました。
- 10. 同項 旧d)の「委託するとき」⇒新c)「委託することに伴って当該個人データが提供されるとき」に変更されました。
- 11. 同項 旧e)「提供する」⇒新d)「提供される」に変更されました。
- 12. 同項旧f)で契約についての文言が削除されました(8.7 2項d)で本人への連絡・接触の際に同意を得ることを要しない場合として契約を求めているため趣旨は変わりません)
- 13. 同旧g)が新f)~l)に分割して具体化されました。
ピックアップ9 「J.8.8.4 個人関連情報の第三者提供の制限等」
- 1. 表題末尾「など」⇒「等」に変更されました。
- 2. 旧1項で「個人関連情報を取り扱う場合」に取扱い手順の文書化を要求していたところを、新1項では「第三者が個人関連情報を個人データとして取得することが想定される場合(実際に提供する場合の措置は2以降)」として通知又は明示・同意を得る項目に変更されました。
- 3. 2項は参照先の表現が変更され、旧2項にあった「法令の定めるところによって」との文言が削除されました。
- 4. 2項 a)の冒頭に「No.1に基づき」が追加されました。
- 5. 2項 b)は語句の順序が入れ替わりました。
- 6. 2項 b) 1)として、「当該外国の名称」が本人に提供する情報に追加されました。
- 7. 新2項 2)は、制度そのものの情報でなくても可となりました。
- 8. 同3)も2)と同様に該当する情報そのものではなくても可となりました。
- 9. 旧2項 b) 3) は削除されました。
- 10. 旧4項の「法令等の定めるところによって」が削除されました。
- 11. 4項 c)は、外国に提供する場合であることが明確化されました。
- 12. 留意事項の項番の置き換え
ピックアップ10 「J.8.10 仮名加工情報」
- 1. 新1項として匿名加工情報と同じく、取扱い可否についての方針を定める旨が追加されました。
- 2. 旧1項の「法令等の定めるところによって」が削除されました。
- 3. 旧4項 b)で「及び法令に基づく場合」と具体的に示していなかったところを新5 b)で「J.8.4のa)~d)のいずれかに該当する場合」と具体化されました。
- 4. 旧5項は原則提供しない前提で例外を示していたという表現だったのが、提供する場合の条件に変更されました。
- 5. 旧5項 f)(新6項 f))の表現がJ.8.7と同様に変更されました。
- 6. 旧5.f)6)の「取得方法」が削除されました。
- 7. 留意事項が追加されました。
ピックアップ11 「J.9.2 安全管理措置」
- 1. 第1項の「き損」⇒「毀損」に変更されました。
- 2. 第2項として個人情報を取り扱わないことになっている外部サービス(例えば情報の保管保存サービス)利用する際の、事前のサービス内容把握、評価の要求が新設されました。 ※個人情報を取り扱わないという理由で管理対象外としていた供給者がある場合は注意が必要です。預ける側には依然として管理責任があるためです。
その他改定
その他の改定を次の表に示します。次の改定によって、マネジメントシステムに大きく影響することはありません。
| J.1.4 | 個人情報保護マネジメントシステムの適用範囲の決定 | 「文書化した情報を利用可能な状態にすること」が追加 |
| J.1.5 | 個人情報保護マネジメントシステム | 「必要なプロセス及びそれらの相互作業を含む」PMSであることを追加 |
| J.2.2 | 個人情報保護方針 | b)法令その他の規範の遵守⇒法令、国が定める指針その他の規範の遵守 c)き損⇒毀損 |
| J.3.1.1 | 個人情報の特定 | 3「管理する個人情報の件数(概数でも可)」を追加 |
| J.3.1.4 | 個人情報保護リスク対応 | 1「手順及び・・・」⇒「定めた手順及び・・・」 2「・・・記録を保持すること」⇒「・・・記録を利用可能な状態にすること」 |
| J.4.2 | 力量 | d)「・・・記録を保持する」⇒「・・・記録を利用可能な状態にする」 |
| J.4.5.4 | 内部規程 | c)「リスク対策」⇒「リスク対応」 g)適正管理の例として「データ内容の正確性の確保等、安全管理措置、従業者の監督、委託先の監督」を追記 l)「点検」⇒「監視、測定、分析及び評価、並びに内部監査」に変更 m)「是正処置」⇒「不適合及び是正処置」に変更 |
| J.5.1 | 運用 | 5「本項2~4」⇒「No.2~4」 5「記録を保持」⇒「記録を利用可能な状態に」 |
| J.6.1 | 監視、測定、分析及び評価 | 本項全般の「マネジメントシステム」⇒「個人情報保護マネジメントシステム」 4「証拠として」⇒「証拠となる」 4「文書化した情報を保持すること」⇒「文書化した情報を利用可能な状態にすること」 |
| J.6.3 | マネジメントレビュー | 3「考慮する」⇒「含む] 3 2)「確認及び点検の結果」⇒「監視および策定の結果」 3 3)「監査結果」⇒「内部監査結果」 5「証拠として、文書化した情報を保持すること」⇒「証拠となる文書化した情報を利用可能な状態にすること」 |
| J.7.1 | 不適合及び是正処置 | 3「実施結果について、文書化した情報を保持するとともに」⇒「実施結果の証拠となる文書化した情報を利用可能な状態にするとともに」 |
| J.8.4 | 個人情報を取得した場合の措置 | 2 b)「組織」⇒「事業者」 |
| J.8.5 | J.8.4のうち本人から直接書面によって取得する場合の措置 | 1 a) d)「組織」⇒「事業者」 2 2)「組織」⇒「事業者」 |
| J.8.6 | 利用に関する措置 | 4「以下のいずれかに該当する場合」⇒「以下の場合に」 |
| J.8.8.1 | 外国にある第三者への提供の制限 | 1「J.8.3のa)~d)、又は、J.8.3のj)~l) 」⇒「J.8.8のf)~l)」 2と3「1項」⇒「No.1」 旧2の3「法令等の定めるところによって」が削除 新2 e)の冒頭に「適切かつ合理的な方法により得られた」が追加 3 l)の「組織」⇒「事業者」 3 l) 7)の「前号」⇒「6)」 4「3項」⇒「No.3」 |
| J.8.8.2 | 第三者提供に係る記録の作成等 | 表題の末尾「など」⇒「等」 2 a) 「委託するとき」⇒「委託することに伴って当該個人データが提供されるとき」 2 b) 「を提供する」⇒「が提供される」 2 c)「個人データを共同利用している場合であって、共同して利用する者の間で、J.8.7に規定する共同利用について契約によって定めているとき」⇒「J.8.7のd)によって、特定の者との間で共同して利用される個人データが当該特定の者に提供されるとき」 |
| J.8.8.3 | 第三者提供を受ける際の確認等 | 表題末尾「など」⇒「等」 2. a)「委託されたとき」⇒「委託されることに伴って当該個人データの提供を受けたとき」 2 b)「を提供される」⇒「の提供を受けた」 2. c)「個人データを共同利用している場合であって、共同して利用する者の間で、J.8.7に規定する共同利用について契約によって定めているとき」⇒「J.8.7のd)によって、特定の者との間で共同して利用される個人データが当該特定の者から提供を受けたとき」 ※追加された留意事項に注意 |
| J.8.9 | 匿名加工情報 | 旧2の「法令等の定めるところによって」が削除 ※追加された留意事項に注意 |
| J.10.3 | 保有個人データ又は第三者提供記録に関する事項の周知など | 1「本人の請求など」⇒「本人の求め」 1 a)「組織」⇒「事業者」 1 e)「組織」⇒「事業者」 |
| J.10.4 | 保有個人データの利用目的の通知 | 3「2項」⇒「No.2」 |
| J.10.5 | 保有個人データ又は第三者提供記録の開示 | 2.b)「組織」⇒「事業者」 2)3.「1項」⇒「No.1」 3)3.「2項」⇒「No.2」 |
| J.10.6 | 保有個人データの訂正、追加又は削除 | 3「その旨及びその理由を本人に遅滞なく通知すること」⇒「本人に遅滞なくその旨を通知するとともに、理由を説明すること」 |
| J.10.7 | 保有個人データの利用又は提供の拒否権 | 旧3と旧4を統合して新3に再編すると共に、新3のa)を追加 |
| J.11.1 | 苦情及び相談への対応 |
|
プライバシーマーク改定対応よくあるご質問Q&A
Q. プライバシーマーク指針改定で何をしないといけませんか?
最低限、指針改定内容の把握と、PMS文書の改定、またそれに基づいた運用が必要となります。
Q. プライバシーマーク指針改定の適用はいつからですか?
2024年10月1日申請分から、改定版指針の適用が必要です。。
改定対応のためのコンサルティング支援の概要
1.構築されたPMS、文書内容の確認
過去に支援させていただいたことが無いお客様、もしくは、直近の支援から長時間経過しているお客様の場合、現行のPMS文書の体系、構成及び量を確認させていただきます。
2.PMS文書の改定
お客様にて改定されたPMS文書を確認し必要に応じて改善提案をさせていただきます。または、弊社で改定案を作成し、お客様と読み合わせをいたします。
規格要求事項本文の改定箇所を解説し、対応文書改定のための助言を提供したうえで、成果物をレビューします。または、弊社で改定案を策定し、読み合わせを行い、規格要求事項本文の改定箇所を解説します。
プライバシーマークの運用・指針改定のことや、ご支援のことなど、何でもお気軽にご相談ください。