一方、「実は全然変わっていない」という意見もあります。階層化された文書を剥いていくと、旧版2006がほぼそのまま現れるからです。
貴社が今回の改正にどのように臨むかを判断するうえで、やはり新規格の理解は欠かせません。ここではバルクのコンサルタントが、支援先のご担当者様に普段お話ししているように、この新規格を判りやすく解説していきます。
第2回:規程等の修正ポイント |
|
JISQ15001改正の主眼は改正法を取り込むことでした。改正法は2017年5月30日に施行されていますので、それ以降の審査においては法令対応していることが必要でした。 JISQ15001:2017のポイントは、法律用語に合わせた改正をしている点です。個人情報・個人データといった法律用語を、本文や附属書でも同じように使い分けしています。 とはいえ、Pマーク審査においては散在する個人情報も個人データと同様の安全管理措置を求めていますし、本人から直接書面で取得する際は同意を取る点等、JIS規格が上乗せしている要求事項はそのままです。したがって、運用面で大きな変更はありません。 また機微情報においては同様の規定が法律にも「要配慮個人情報」として明文化されました。その定義は微妙に異なりますが、事業者における要配慮個人情報の取扱いついては同意取得の手順が整備されておりますので、特段の対応は必要ありません(金融業等は業法対応の確認は必要)。なおこうした用語修正は必須ではありません(前回参照)。 では、何もせずに新審査基準で更新審査を受けてもよいのでしょうか? この点につき、以下のような注意が必要です(今後、審査実務が進んでいく過程で、最新情報は改めて書いていきますが、現状わかる範囲であることはご了承ください)。 用語の修正については、審査において読み替えができる知識が必要でしょう。たとえば、審査員から「マネジメントレビューの記録を見せてください」といわれて、何のことかわからないと指摘になる恐れがあります(現行審査でも同様の指摘が出ることがあります)。 ただJISQ15001:2017に追加された要求事項がいくつかあります。たとえば、教育等で従業者に認識させる事項に「個人情報保護方針」が加わりました。したがって、規程そのままで審査に臨んだ場合、文書審査でA.3.4.5については、「指摘」となる可能性があります。また、使用した教材等が個人情報保護方針を認識させる内容となっているかどうか、現地審査で確認されるでしょう(なければ、次回の教育計画や教材を提出せよとの指摘も?)。
要するにJISQ15001:2017への対応で確認しておくべきことは、
8月1日から2年間、JISQ15001:2006か2017のどちらで審査を受けるか選択できる移行期間がはじまりますが、多くの事業者は改正法対応の必要はないでしょうから、旧規格で受審するメリットはあまりないといえます(規程類の修正が必須ではないのなら、審査実務に大きな変更はないはずです)。仮に指摘になったとしても対応すべき事項は多くはないので、指摘を受ける覚悟でいち早くJISQ15001:2017への対応を済ませたほうが、精神衛生上もよろしいかと思います。規程類の修正については、上記②について必要性を確認し対応することになります。 詳しくは、JISQ15001:2017に基づく新審査基準への対応(用語の変更含む)と合わせ、次回、その要点をまとめて解説します。 |
