1. 第1回：新規格の読み方
2. 第2回：規程等の修正ポイント
3. 第3回：新審査基準への対応ポイント

1. 第4回：附属書Ｃの活かし方
2. 第5回：ＩＳＭＳの概念を取り込む

　第3回：新審査基準への対応ポイント

　JISQ15001:2017では、個人情報と個人データを法律用語に合わせて書き分けています。ただ新審査基準の留意事項には「個人データに対する審査項目も、A.3.3.1で特定した個人情報は個人データと同等に取り扱う」とあります（A.3.4.2.8、A.3.4.3.1、A.3.4.3.3、A.3.4.3.4等）。 ちなみに法20条は個人データの安全管理措置を義務付けしていますが、A.3.4.3.2は「その取り扱う個人情報の個人情報保護リスクに応じた安全管理措置を講じている」かが審査項目です。

また開示請求権に関わるA.3.4.4.1～A.3.4.4.7は保有個人データの用語に修正されていますが、「保有個人データに対する審査項目も、A.3.4.4.1に定めた個人情報は、保有個人データと同等に取り扱う」としています。このように個人情報・個人データといった法律用語を、本文や附属書でも同じように使い分けしていますが、従来通り個人情報も審査対象にされます。なおこうした法律用語の修正は不要です（第1回を参照）。

とはいえ、JISQ15001:2017独自の用語変更は注意が必要です。たとえば代表者⇒トップマネジメント、リスクの認識・分析⇒個人情報保護リスクアセスメント、リスク対策⇒個人情報保護リスク対応、本人にアクセスする⇒本人に連絡又は接触する、点検⇒パフォーマンス評価、代表者による見直し⇒マネジメントレビュー、是正処置及び予防処置⇒是正処置（個人情報保護リスクアセスメントを通じて予防処置実施⇒規格本文）。

新審査基準の審査項目には、「トップマネジメントは、個人情報保護目的を説明できること」（A.3.2.1）とあります。その確認方法・エビデンスには「トップマネジメントの説明」が挙げられています。従来の代表者インタビューに相当するものでしょうが、こうしたトップマネジメントの説明は、規格本文「5.1リーダーシップ及びコミットメント」を踏まえれば、当然の確認事項といえるでしょう。

つまり、JISQ15001:2017要求事項の本文は不要なのではなく、新審査基準においてそれなりに包含されているといえます。個人情報保護目的を審査で質問されたことはないと思いますが、「附属書A（規定）管理目的及び管理策」という表題からJISQ15001:2017がISMSと同様に目的志向であることが読み取れます。もちろん、移行期間の開始から規格本文に関する踏み込んだ審査実務にならないでしょうが、要注意といえるでしょう。

　JISQ15001:2017で追加となった要求事項として、以下の項目があります。

• 内部向け個人情報保護方針の周知対象に「利害関係者」（本文4.2）が追加（A.3.2.1）
• 個人情報管理台帳の必須記載項目に「保管期限」が追加（A.3.3.1）
• 共同利用について契約の定めが必要（A.3.4.2.8）
• 委託先との契約条項に「契約終了後の措置」が追加（A.3.4.3.4）
• 従業者向け教育内容に「個人情報保護方針」が追加（A.3.4.5）
• 日常運用点検を定期的及び適宜にトップマネジメントに報告が追加（A.3.7.1）

新審査基準で受審される場合は、用語の修正等は不要といわれていますが、上記の未対応があれば、規程や様式の修正をしておかないと指摘事項になるでしょう。