私たちの個人情報保護を目的としてつくられたプライバシーマーク制度は、
2024年10月から生まれ変わります。
改訂に伴って出てくる、「一体、なにが変わるのか?」「新規取得を検討している事業者はいつ・
どのような流れでの申請なのか?」「取得済み事業者は、いつから改訂が必要なのか?」などの疑問をお持ちの方も多いと思います。
そこで、そんなお悩みを解消できるように全部で5つの記事に分けてご紹介します。
今回の第一弾は、「個人情報保護法とJIS Q15001の変遷」に着目していきます。
目次
- 改正までの経緯
- 個人情報保護をめぐる環境変化の沿革と法制度
- これまでの個人情報保護法~改正ポイント~
- 「JIS Q15001」と個人情報保護法の関係とは
- JIS Q15001の変遷
- JIS Q15001:2023の大きな変更点
- 審査対応・スケジュールについて
- まとめ
2023年9月、現行の日本産業規格「JIS Q15001:2023(個人情報保護マネジメントシステム-要求事項)」が6年振りに改正されました。
また、2022年4月には個人情報保護法の改正もあったため、
これらに合わせる形で新たなプライバシーマーク制度の審査基準(「プライバシーマークにおける
個人情報保護マネジメントシステム構築・運用指針」)が設けられました。
2000年代に入り、インターネットをはじめとするネットワークの発展や国際的な法制定の動向、
また事業者による個人情報の利用が活発化したことで2005年に個人情報保護法が施行されました。
2005年に個人情報保護法が施行されて以降は、IT技術の発展やビジネスのグローバル化などの
社会状況の変化が目まぐるしく起こり、個人情報保護法の制定時には想定していなかった個人情報の
利用状況となりました。
そこで、これらの状況に対応すべく、2015年9月に改正個人情報保護法が公布されて2017年5月に
改正法が施行されました。
将来的な社会情勢や国際的動向の変化や情報通信技術の発展などを見越して、
”3年ごと”に実態に見合った形で法律を見直すことの内容も盛り込まれました。
そして、2020年の見直し審議を経て、2022年4月に個人情報保護法が改正が行われました。
①2015年改正法(2017年5月全面施行)
- 取り扱う個人情報の数が5,000人以下の小規模事業者を対象化
- 「匿名加工情報」に関する制度の創設
- 国境を越えた域外適用と外国執行当局への情報提供に関する制度の整備
- 外国にあたる第三者への個人データの提供に関する規定の整備
- 個人情報保護委員会の新設
②2020年改正法(2022年4月全面施行)
- 漏えい等が発生した場合の個人情報保護委委員会への報告及び本人通知の義務化
- 保有個人データの利用停止・削除等の請求権の拡充
- 「仮名加工情報」に関する制度の創設
- 不適正な方法により個人情報を利用してはならない旨を明確化
- データの提供先において個人データとなることが想定される「個人関連情報」について、
第三者提供に当たっての本人同意が得られていること等の確認を義務付け
③2021年改正法
- 個人の権利利益の保護強化
- 越境データへのリスク対応
- ビックデータへの対応
これまでは別々に定められていた民間事業者・国の行政機関・独立行政法人、地方公共団体の機関及び地方独立行政法人のルールを集約・一体化するために、
行政機関個人情報保護法・独立行政法人等個人情報保護法が個人情報保護法に統合され、地方公共団体の個人情報保護制度についてもこれに統合され、個人情報保護に関する全国的な共通ルールが
定められました。
JIS Q15001と個人情報保護法は同じもののように思え、
実際に違いが分からない方も少なくないと思いますが、実際は全くの別物です。
プライバシーマーク制度の基準規格である”JIS Q15001”は、個人情報保護法を根拠として、個人情報保護マネジメントシステム構築・運用に関する具体的なルールや運用方法などを記載しています。
そのため、今回2022年4月に改正された個人情報保護法を受けて改正された「JIS Q1001:2023」が発行となったのです。
・1991版:コンプライアンス・プログラム
個人情報保護法制定前のため、法令の代替的な役割
・2006版:マネジメントシステムに改訂
EUのデータ保護指令を意識した、法律より厳しい要求事項
・2017版:ISOに近似し、個人情報保護法を取り込む
MS部分を共通文書化に近似させ、運用の効率化を強調したものの逆効果の見方も。
個人情報保護法を取り込み、用語を法令に合わせた
・2023版:2017版を改善し、改正法を部分的に取り込む
MS部分は統合化により、規格本文を要求事項化
ISOは特定の国の法令に依拠しないのに、国内法を取り込む矛盾
改正個人情報保護法への対応
「附属書A(規定)」に仮名加工個人情報や個人関連情報の追加、保有個人データの規律変更などの反映がおこなわれた。
※附属書A:個人情報の取得、利用、提供の際の管理策が記載されています。
民間部門が対象で、行政機関等は対象ではない
事業者単位から事業者の一部や複数の事業者を対象とした規格になるように見直されました。
ここで記載されている”事業者の一部”とは、医療機関における病院や社内会社制を敷いている会社
などが該当します。
※個人情報保護委員会の監督権限は一元化され、JIS Q15001:2023は個人情報保護法を取り込んで
いますが、【行政機関等は法令対応する⇒法律による行政の原理を貫徹】
マネジメントシステムを整理統合化
マネジメントシステム部分:本文と附属書B(参考)がセット
- 本文(要求事項):トップインタビューから要求事項として審査される
- 附属書B(参考) :マネジメントシステムに関する補足
→本文と合わせて読み込む必要があり、事実上の要求事項
個人情報保護部分:附属書A&附属書Cがセット
- 附属書A(規定):A.1~A.28(個人情報保護法の義務に対応)
→個人情報保護法の義務規定(Pマーク上乗せ規定)が管理策に集約された - 附属書C(参考):附属書Aの管理策に関する補足
→附属書Aと合わせて読み込む必要があり、事実上の規定
1.審査スケジュール
構築・運用指針(改訂版)に基づいた申請の受付は、2024年10月1日より開始し、
それまでは現行版での対応が必要となります。
引用元:JIPDEC「構築・運用指針(改訂版)の適用」
2.改訂版スケジュール
2024年9月30日までに申請される場合
引用元:JIPDEC「構築・運用指針(改訂版)の適用」
2024年10月1日以降に申請される場合
引用元:JIPDEC「構築・運用指針(改訂版)の適用」
今回は、個人情報保護法とJIS Q15001の変遷に着目しながら、JIS Q15001:2023の変更ポイントについてもご紹介しました。
そもそも個人情報保護法やJIS Q15001とは?といった基本的な部分をまずは抑えて、
この度の変更ポイントが一体どんなところにあるのかについて理解をしていきましょう。
株式会社Runway-labo.では、あらゆるITのお悩み・認証資格取得のサポートを行っております。
Pマーク取得のご支援・ご相談も承っておりますので、ぜひ一度お気軽にご相談ください。
→お問い合わせはこちらから
この記事を書いたのは、株式会社Runway-labo.で情シスのアシスタントをしているAnya。趣味はピラティスで身体を動かした後に餃子とハイボール片手に昼飲み。そしてコナン君をこよなく愛する。