1. 第1回：新規格の読み方
2. 第2回：規程等の修正ポイント
3. 第3回：新審査基準への対応ポイント

1. 第4回：附属書Ｃの活かし方
2. 第5回：ＩＳＭＳの概念を取り込む

　第4回：附属書Cの活かし方

　附属書A（規定）のA.3.4.3.2　安全管理措置には、「組織は、その取り扱う個人情報の個人情報保護リスクに応じて、漏えい、滅失またはき損の防止その他の個人情報の安全管理のために必要かつ適切な措置を講じなければならない。安全管理措置に関する管理目的及び管理策は、附属書Cを参照。」とあります。

附属書Cの管理目的及び管理策は、「…A.3.4.3.2の安全管理措置に関する管理目的及び管理策の包括的なリストであり、JISQ27002:2014の箇条5～箇条18を基に作成したものである。この管理策は、リスク分析[6.1.2 ｄ）]の結果を踏まえて安全管理措置としての個人情報に係る情報セキュリティを決定する際に適宜選択して利用することができる。」とあります。

この点につき附属書B（参考）のB.3.4.3.2　安全管理措置には、「安全管理措置は、緊急事態が発生した場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人情報の取扱状況などに起因する個人情報保護リスクに応じた必要かつ適切な措置を講じることが求められているのであって、全ての個人情報についての一律な措置を講じる必要がない。」とありますので、管理策は「リスク分析の結果を踏まえている」ことが重要です。

附属書Cは35の管理目的と114個の管理策から構成されています。JISQ27000:2014の定義によれば、管理目的とは「管理策を実施した結果として、達成することを求められる事項を記載したもの」であり、管理策とは「リスクを修正する対策」のことです。たとえば、C.12.3 バックアップの目的は「個人情報の消失から保護するため」とあり、C.12.3.1 情報のバックアップの管理策には「個人情報、ソフトウェア及びシステムイメージのバックアップは、合意されたバックアップ方針に従って定期的に取得し、検査することが望ましい」とあります。

平たく言うと、個人情報が盗難災害等で消失したり、停電でデータが消えてしまったりしないように定期的にバックアップをし、バックアップ機能が正常かどうか検証する手順が必要ということです。附属書Cは（参考）なので、管理策の文末は「～望ましい」という表現ですが、参考にして規程に盛り込んだのであれば、それは組織にとっての要求事項の一つであり、バックアップが実施されていなければ内部監査で不適合の判定になります（審査では、当然に指摘事項になるでしょう）。

Pマーク取得事業者は、現在ある安全管理措置と附属書Cの管理策とを見比べて抜け漏れがないかをチェックすることができます。114個の管理策は情報セキュリティのためのベストプラクティス集でもありますので、ISMS運用においては内部監査チェックリストにもなります。そのためJISQ15001:2017に対応するというだけではなく、個人情報保護マネジメントシステムの実効性の確保や継続的改善に向けた取り組みに活用されることが期待されているといえます。この点は、次回ISMSの概念をPMSに取り組むポイントとして解説いたします。