JISQ15001改正とは？2022年Pマーク改訂もあわせて解説

2023年9月20日、プライバシーマーク（以下、Pマークという。）制度の軸であるJIS規格15001が6年ぶりに改正されました。

しかし、Pマーク付与のための審査に必要な指針である、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」（以下、「構築・運用指針」という。）については、改訂版がまだ公表されていません。

中には「Pマークの次回更新に備えて準備しておきたい」、「過去のPマーク改訂のポイントをもう一度押さえておきたい」という方もいるのはないでしょうか。

そこで本記事では、JIS規格15001改正の概要について解説します。 Pマーク制度の「構築・運用指針」改訂版が公表されれば、自社の内部規定などの見直しが必要になります。予備知識をつけるため、ぜひご一読ください。

【2023年9月】JISQ15001改正の概要と目的

JISQ15001改正は、個人情報保護法改正との整合性を図るために行われました。旧規格「JIS Q 15001:2017」に比べると附属書の構成が見直され、「個人関連情報」や「仮名加工情報」に関する規程が新たに加えられています。詳しく見ていきましょう。

今回の改正改正前：「JIS Q 15001：2017（個人情報保護マネジメントシステム－要求事項）」↓改正後：「JIS Q 15001：2023（個人情報保護マネジメントシステム－要求事項）」（以下、「JIS Q 15001：2023」という。）

JISC 日本産業標準調査会や経済産業省情報をまとめると「JIS Q 15001：2023」改正の目的は以下のとおりです。

• 2022年の個人情報保護法改正を受け、内容の整合性を図るため
• 個人情報保護マネジメントシステムの要求事項の継続的な実施・維持・改善のため
• 個人情報保護マネジメントシステムの確立及び実施を決定するさまざま要因は、事業体ごとに異なり、時間とともに変化することが見込まれるため

（要因例…組織のニーズ・目的・組織が用いているプロセス・組織規模・構造など。）

• サイバーセキュリティ対策・クラウドサービスの利用・リモートワークの普及などにより、企業や団体に求められる新しい情報セキュリティの取り組みについて、十分な水準かつ継続的であることを担保するため

つまり、2022年4月の個人情報保護法改正に伴い、さまざまな法令や規定の更新が行われるなか、JIS規格においても、個人情報保護に関する内容にずれが生じないように更新することがおもな目的です。

ほか、時間の経過とともに変化する事業体に対応するため、あるいは持続可能な情報セキュリティ対策のため、今回JIS規格改正が行われたと考えられます。

改正内容

これまでのPマーク制度では、JIS規格「JIS Q 15001:2017」に対し、管理目的・管理策が記された本文・規程・参考情報をもとに、事業者の実際の取り組みについて審査で確認されていました。

【JIS Q 15001:2017　構成】

今回の改正では、より詳細かつ明確な内容となっています。ポイントは以下のとおりです。

• 個人情報保護方針・個人情報の特定・リスクアセスメント・計画・運用・監査・見直しなどに関する規程はすべて本文に集約
• 附属書A：個人情報保護法に関する対応の規定を集約
• 附属書B：規格本文に関する解説、項目も詳細化
• 附属書C：附属書Aに関する解説、項目も詳細化

参考までに、下記の表は、附属書A・Bのなかの変更箇所の一部を抜粋したものです。改正前・改正後の変更内容を示しています。

JIPDECの「構築・運用指針」改訂版の内容によって、上記の内容がどこまで審査に影響するかは推測が困難です。しかし予備知識があれば、社内規程類見直しが効率的に進むでしょう。

なお、「JIS Q 15001：2023」はJISC（日本産業標準調査会）ウェブサイトから無料登録後、ログインすれば閲覧可能です。

改正に伴いPマーク付与事業者が行うべきこと

Pマーク付与事業者は、JIS Q 15001：2023の確認のほか、「構築・運用指針」の改訂版をいち早くチェックしましょう。改正のポイントを押さえて社内規程類などの更新作業を進めることが大切です。

公表予定の「構築・運用指針」の改訂版をチェックする

ホームページなどで早期に公表を把握することは、自社基準との差分をもとに社内規程類などの見直しの早期着手に役立つでしょう。

Pマーク制度を運用するJIPDECは、今回のJIS規格改正を受けて「構築・運用指針」改訂版の公表を予定していますが、時期については明記されていません。

そのため「構築・運用指針」改訂版の公表について、チェックを欠かさないようにしましょう。

改訂版の公表に伴う内務規程類等の見直し

Pマークの継続的な付与には、2年ごとの更新が必要です。

新たな「構築・運用指針」に基づき審査が行われることが、今後予想されます。そのため、次回の申請までに今一度、自社のPマークに関する規程・関連文書などを修正することが必要です。

「JIS Q 15001：2023」は、個人の権利・第三者提供の制限・情報漏えい・リスク対応など個人情報に関する対策や、違反者へのペナルティがより強化された内容です。

そのため、個人の権利は強化される一方で事業者の責務は厳格化されている点を重視し、見直しをしていきましょう。

「個人情報保護マネジメントシステム構築・運用指針」過去の改訂概要

これまでの指針改訂や、Pマーク制度にまつわる法改正についてポイントをお伝えします。

• 【2021年8月～2022年2月】新運用指針の複数回の改訂・公表
• 【2022年3月末まで】旧指針・旧法・旧審査基準での運用及び審査
• 【2022年4月】個人情報保護法が改正
• 【2022年4月～】新たな審査基準の運用開始

1つずつ見ていきましょう。

【2021年8月～2022年2月】新運用指針の複数回の改訂・公表

Pマーク付与の評価基準となるJIPDECの「構築・運用指針」。過去、2021年8月・2022年1月・2月に改訂を重ね、現在の「構築・運用指針」が公表された経緯があります。

具体的に見ていきましょう。

2021年8月の改訂は、JIS Q 15001:2017「附属書A」の要求事項の考え方をわかりやすくまとめ直すために行われました。

2022年1月、8月に公表された内容をもとに、改正個人情報保護法の内容を追加。同時に、「構築・運用指針」と現行審査基準との対照表も提示されています。

2022年2月の改訂では、個人データを提供できる条件などがより詳細にまとめられました。

【2022年3月末まで】旧指針・旧法・旧審査基準での運用及び審査

複数回の改訂があったものの、適用開始は2022年4月からのため、2022年3月までは旧指針・旧法・旧審査基準での運用および審査が行われていました。

これらを踏まえ、改訂後〜適用開始までに焦点をあてると、現「構築・運用指針」は改訂3回、約半年の期間を経て適用されていることになります。

すなわち、まだ公表されていない新「構築・運用指針」についても、適用までに数回改訂を重ねる可能性があります。

【2022年4月】個人情報保護法が改正

さて、2022年4月に個人情報保護法が改正されたことに伴い、多くの規定・法令が影響を受けます。Pマーク制度は、個人情報保護に特化した事業体のセキュリティ認証です。「構築・運用指針」についても改訂が余儀なくされました。

2022年、個人情報保護法改正のポイントは以下のとおりです。

• 個人の権利強化・利益の保護
• 事業者の義務の強化
• ペナルティの強化
• 認定団体制度の見直し
• データ利活用の促進
• 外国人事業者の規制の強化

成立の背景には、ITツールの多様化によるオンライン上の個人情報漏えいなどのリスク増加など、国民の個人情報に対する捉え方が高まったことが挙げられます。

【2022年4月～】新たな審査基準の運用開始

個人情報保護法の改正を受け、JIPDECは、2022年4月以降のPマーク制度申請分から「構築・運用指針」を新基準で運用する運びとなりました。

11項目全186の指針からなる「構築・運用指針」は、「JIS Q 15001：2017」「JIPDECガイドライン」に改正個人情報保護法の内容を加え、個人情報に関する対策について網羅した内容となっています。

まとめ：新たなJIS規格に対応できる体制を自社内で整えましょう

JIS規格に準拠するPマーク制度の「構築・運用指針」はまだ公表されておらず、今後、Pマーク更新の際には新たな「構築・運用指針」が審査に加わる可能性があります。

過去のPマークの改訂経緯などを参考に、少しづつ準備を始めてみてはいかがでしょうか。

「運用・更新の手間を省きたい」「規程類を細かく調査していく時間が取れない」という方は、外部委託をおすすめします。

BtoBマッチングで成果を出し続けるEMEAO!では、Pマークについての問合せ多数、圧倒的な実績と精度の高いマッチングでクライアント様の取引成立をしっかりと支援します。

ぜひお気軽にご相談ください。