新JIS規格でプライバシーマーク審査基準はどう変わるか?

一般財団法人日本データ通信協会
Pマーク審査部長
小堤 康史

1. 「審査基準」とは

 ここでいう「審査基準」とは、プライバシーマークの認定を得るための事業者の皆様に対する付与適格性審査において用いられる審査基準のことである。
 プライバシーマークの付与適格性審査は、文書審査と現地審査からなる。
 文書審査は、事業者の個人情報保護マネジメントシステム(広い意味では事業者の個人情報保護に関する取り組み全体を指すが、ここでは規定類、様式類など、それを説明する資料類をいうこととする。以下PMSという)が、審査基準に合致しているかを確認するものであり、これは事業者から提出された申請書類を閲覧しながら机上で行う。
 また、現地審査は、実際に事業者を訪問し、審査基準に合致していることを確認した事業者のPMSが、実際に適切に運用が行われているかを確認するものである。
 この2段階によって、事業者の個人情報保護に関する運用が審査基準に合致していることを確認する。
 適切であれば付与適格性が確認されたとされ、審査会を経て合格となり、登録手続きを経て、登録の証を公表するなどに用いることができるようになる。その期間は2年間とされ、期間終了の前に、再度更新のための手続き(更新申請)が行われる。
 各段階で用いられる審査基準は、JIS Q 15001に基づいて作成されているため、審査基準に合致していることが確認された、ということは、事業者のPMS運用がJISQ 15001に適合して運用されていることを証することになるのである。
 JIS Q 15001という規格は、最初の版が1999年版、次の版が2006年版、さらに本文は2006年版のまま解説のみの差し替え、と見直しの歴史をたどってきた。そして今般、2017年版が登場した。JIS Q 15001が改版されたので、これに対応してプライバシーマーク審査の内容(審査基準)が変更される。これが審査基準の変更である。※¹

※1 JIS Q 15001:2017は2017年12月20日に公示されたことを受けて、一般財団法人日本情報経済社会推進協会(JIPDEC)は2018年1月12日に、対応の審査基準を公表している。URL(https://privacymark.jp/system/operation/jis_kaisei/index.html)参照。

2. プライバシーマーク制度における審査基準

 プライバシーマーク制度は、かなり普及してきたが、約300万社とも言われる日本国内企業のうち、約1万6千社程度、0.5%が認証されているに過ぎない。現在もプライバシーマークを取得しようとする企業は多いが、取得総数の伸びは鈍化している。しかし一種のプレミアなマーク制度と考えれば、これはこれで、一つの現在の姿であることは間違いない。
 プライバシーマーク制度、という仕組みを決めて運営しているのは一般財団法人日本情報経済社会推進協会(JIPDEC)のため、審査基準についても、JIPDECが決定する。私ども日本データ通信協会はJIPDECに連なっている18の審査機関のひとつに過ぎず、主に電気通信事業者を対象とした業種の範囲で審査業務を行っている。
従って、ここで説明する審査基準は、JIPDECから公式に説明されたものがベースとなっている。
 プライバシーマークの審査項目は、原則として、JISQ 15001:2017(2017年版JIS)の附属書Aの各管理策に対応している。
 この2017年版JISの附属書Aは、2006年版JISの本文をほぼ踏襲して作成された。このため、審査項目も、結果としては2006年版JISのときの審査項目に、かなり近似している。
 2017年版JISの附属書Aに対応していることから、見出しは全て、A.x.xの体系となり(Aで始まるのは、JISQ 15001:2017の附属書Aであることを示す)、その順番に記述されている。
 管理策のひとつひとつに対して、審査項目、例えば、対応する手順等を定めていること、意思決定が必要な場合に事業者内で承認する手順を定めていること、定められた手順に従った運用の状況を記録で示すか、または説明できること、等が記述されている。
 この新しい審査基準によって、どのように審査が行われるのか、JIPDECは今年の1月15日以降、全国規模で20回近く説明会を開催した。当方もJIPDECの許諾を得て同等内容の説明会を行ってきた。そこで本稿では、その後に明らかにされたことも含め、説明会で説明した内容を要約する。もちろんその文責は全て筆者にある。
 なお、この公表された審査基準に対して、今のところ解説・説明が公表されていないが、8月以降に、JIPDECのホームページで公表されるようである。

図表1 新規格の文書体系
出所:一般財団法人日本情報経済社会推進協会(JIPDEC)説明資料より

3. 審査基準の概要

 すでに述べているように、改正後の審査基準はこれまでと審査基準とは連続性がある。ただし、まったく同じではないので、その差分を確認する必要がある。
 手早く確認しようとするならばJIS Q 15001の改正の目的にさかのぼって見ることが妥当である。

4. 改正個人情報保護法への対応について

 今回のJIS改正の最大の目的は、改正個人情報保護法のキャッチアップであった。
 昨年5月30日の改正個人情報保護法の施行以降、日本の個人情報保護のルールは、個人情報保護法の改正に基づいている。JIS Q 15001は、2006年版の策定時には、その時点の個人情報保護法の内容をキャッチアップしていたし、当時の謳い文句として、JIS Q 15001:2006に従っていれば日本の個人情報保護法を守っていることになるのだ、とされていた。その個人情報保護法が改正されたため、その謳い文句がストレートには言えない状況になっていた。そこで今回、改めて改正された個人情報保護法をキャッチアップしたことになった。※²

※2 ただし、JIS Q 15001:2006の3.3.2には、「法令、国の定める指針その他の規範」という要求事項があった。改正個人情報保護法も、いうまでもなく法令であることから、2006年版JISのままでも、改正個人情報保護法(およびこれに基づくガイドライン等)を特定し、それらを遵守していることが要請されていた。もちろん、大半の事業者の皆様も、これに従い、既に改正個人情報保護法に従った個人情報保護を行っていることと思う。

 すると、事業者の皆様への、この点での影響は、そもそも昨年5月30日の施行までに、改正法対応の準備が行われていて、すでに運用も行われているはずであるから、今回のJIS Q 15001の改正による影響は、必ずしも大きくはない、ということができる。
 ただし、審査基準として見た場合は、単に新たに改正された個人情報保護法を特定しているか、というレベルではなく、改正された個人情報保護法で示された規範に対応した手順等が定められているか等、確実にレベルアップがされている。
 これに属するJISの改正は、A.3.4.2.7界隈に集中しており、第三者提供を巡るルールの高度化に対応できているのか、が主な審査基準の変更ということになる。
 ここも、改正個人情報保護法の主旨となるが、名簿提供行為の規制、海外への個人情報移転の規制などがルール化に影響している。
 例えば、第三者提供の記録義務、提供を受ける場合の記録義務、国外の第三者への提供の制限、そして匿名加工情報のあたりは、各事業者において、実際に生じる場面があるのか、あるならば、そのときの一連の運用手順、承認手順はどうか、また承認手順に対応した記録様式は整備されているのか等が、その最たるものであろう。

5. 要配慮個人情報について

 次に、単なる用語の変更とはいえないものがあり、それが「要配慮個人情報」である。2006年版JISでは、「特定の機微な個人情報」という用語で整理されていた領域であるが、ほぼ同等の領域を示しているものの、改正個人情報保護法の定義が、必ずしも、2006年版JISの「特定の機微な個人情報」と完全一致していないので、これへの対応が示されている。
 この場合、事業者の皆様は、単に、用語定義を差し替えるだけでは、論理的には不十分であり、特定されている個人情報(いわゆる「個人情報管理台帳」に記載されている個人情報)のすべてに対して、改めて「要配慮個人情報」の定義に従って、対象となるかならないかの判定を行っていただきたい。

図表2:事業者にとっての対応のポイント
出所:一般財団法人日本情報経済社会推進協会(JIPDEC)説明資料より

6. 保有個人データについて

 一方、開示対象個人情報という用語は、JIS Q 15001:2017において保有個人データという用語に置き換わったが、これに関しては、個人情報保護法で定義されている保有個人データではなく、引き続きJIS Q 15001:2006の用語である開示対象個人情報と同等である、と説明されているため、単なる用語の置き換えとなる。これは、甚だややこしい。つまり、改正個人情報保護法の用語である保有個人データとは、微妙に定義が異なる、という状態を説明していることになるからである。
 しかし、多くの事業者が、自社のホームページで「開示対象個人情報」という用語を用いて、開示等の求めの手順を公表していることに対する影響を考えれば、やむを得ないことであろう。この点については審査基準の改正によって直ちに事業者の皆様に対してホームページの修正を求めないこととなり、この点が救われる。

7. 保管期限について

 個人情報の保管期限の管理、という審査基準が、今回新たに示されている。
 これは、使われなくなった個人情報はできるだけ速やかに消去等を行うことが望ましい、という努力義務に対応した審査基準となる。いわゆる「個人情報管理台帳」等の管理項目に、この保管期限を設ける、その管理項目に対応して記載内容に、いつからいつまで保管するのか、ということを記載する(定める)、そして、実際に保管期限が到来したら管理手順に従って実際に消去等を実施する、一連の手順が定められているか、実際に運用されているか、ということが示された。
 これについては、見かけは地味な審査基準の改正だが、以外と事業者にとって影響が大きいのではないだろうか。単なる、“望ましい”とされる事項から、手順の具体化が要請されることになるからである。

8. その他

 他にも、細々した審査基準の見直しがされているが、全てを網羅してここに記すことは紙面の都合上不可能であるので、この辺で留める。
 JIS Q 15001:2017の本文を、自社内でどう取り扱うのか等は、今回の審査基準の中では説明されていないので、迷う向きもあろうかと思う。
 附属書Bの使い方もとまどう事業者の皆様は多いと思う。
 また、審査基準としては、単なる用語の置き換えは必須ではない、という言い方がされているが、将来のわかりやすさを考えれば、審査基準とは別に、この際、用語の置き換えをしておいたほうが良いと、個人的には思う。
 このように、単に審査基準への対応だけでは、次回のプライバシーマーク更新審査対応としては良くても、自社のPMSの改善として見れば不足なところもあるので留意が必要である。JIS Q 15001:2017の全文を、審査基準対応として、だけではなく、何度も眺めることによって、自社のPMSの改善への気づき(ヒント)を得ていただきたいと思う。そして、それができるのは、自社の組織等を知る事業者の皆様ご自身である。

図表3:新審査基準による審査の適用開始時期
出所:一般財団法人日本情報経済社会推進協会(JIPDEC)説明資料より

9. 対応の方向性

 事業者は、取り組みの手順としては、まず、審査基準を熟読すると良い。それを前提に、審査基準を用いて、JIS Q 15001:2017との合致の内部監査を実施することが妥当である。すると、すでにこれまでの取り組みのままで、2017年版への対応としても問題がないところと、それでは不十分なところが浮かび上がってくる。不十分なところを補強すれば、まずは、第一段階としては、最低限の山を越したことになる。
 整備された社内ルールを正式化し、そのルールでの運用を積み重ねれば、要するに2017年版JISに対応した運用も実施されていることになる。このタイミングで次のプライバシーマーク更新審査が行われれば、自社内の判断だけではなく、審査に基づく客観的な認証も行われたこととなるので心強い。
 ちなみに、新審査基準による審査は、この8月から開始となる。そして最終的には2020年7月末までには、更新審査において、新審査基準への適合が求められる。対応を進めていただきたい。