一方、「実は全然変わっていない」という意見もあります。階層化された文書を剥いていくと、旧版2006がほぼそのまま現れるからです。
貴社が今回の改正にどのように臨むかを判断するうえで、やはり新規格の理解は欠かせません。ここではバルクのコンサルタントが、支援先のご担当者様に普段お話ししているように、この新規格を判りやすく解説していきます。
第1回:新規格の読み方 |
昨年12月20日にPマークの審査基準であるJISQ15001 が改正されました(2006⇒2017)。これは昨年5月30日に改正個人情報保護法が施行されたのを受けてのものです。 新規格では、昨年の7月にドラフトが公開されましたが、ISMSの要求事項であるJISQ27001:2014の目次構成と酷似していることから、新しい審査はどうなるのか、多くのPマーク事業者の皆さんは心配されていたこと思います。この点につきましては、今年の1月12日にJIPDECより新審査基準が公表され、同15日に研修会が開催されました(その概要は後述します)。 まず新JISがどのように変わったのか、その目次から全体像を確認しましょう。要求事項そのものは「4組織の状況」から「10改善」まで、ISMSの規格本文構成とほぼ同じです。その後に附属書のA~Dまでが続きます。
大切なのは、この附属書AとBです。新JISを購入されたら、まずこの部分を読んでみてください。旧規格の本文部分が附属書A、解説部分が附属書Bにあたります。目次をよく見ると附属書A(規定)、附属書B(参考)とあるのは、そういうことです。
附属書Aは表の中に要求事項の内容が書かれていますが、旧規格の箇条3に対応するようにA.3.1~A.3.8の順に記載されています(箇条番号の前に附属書AのAが付加されています)。そのため従来の要求事項の項番のまま読み進めることができます(附属書Bも同様にB.3.1 ~B.3.8のように採番されています)。 ちなみに「附属書D(参考)新旧対応表には、規格本文と附属書Aとの対応がわかる一覧表があります。また新JIS では用語の一部が修正されていますが、附属書Dにはその一覧表もあります。 前述の研修会では、附属書Aに対応できていれば規格本文への新たな対応は不要とのことでした。また用語等の修正は原則として必要ないとのことでした。JIPDECのホームページに「JIS改正対応のQ&A」が掲載されていますが、そこにも「公表物や内部規程等に使用する用語の変更は、必須ではありません。」とあります(2017年12月20日公開)。 では、規程類等の修正は全く必要ないのでしょうか? 次回は、この辺りを深堀してみたいと思います。ちなみに附属書Cについては、第4回目に解説をします。 |