1. 第1回：新規格の読み方
2. 第2回：規程等の修正ポイント
3. 第3回：新審査基準への対応ポイント

1. 第4回：附属書Ｃの活かし方
2. 第5回：ＩＳＭＳの概念を取り込む

　第5回：ISMSの概念を取り込む

JISQ15001:2017（以下、新規格）はISMSの要求事項であるJISQ27001:2014との親和性を重視して改正されたことは既述の通りです。PMSとISMSの違いは、前者が個人情報保護法に基づき個人情報の適正な取扱いを通じて本人の権利利益の保護を目的としている（受動的）のに対し、後者は組織が自ら情報セキュリティの仕組みを作り運用することで情報セキュリティ目的を達成する（能動的）ところに違いがあります。

個人情報は組織にとって情報資産でありセキュリティの対象です。ここで情報セキュリティとは情報の機密性・完全性・可用性を維持することです（JISQ27000:2014の定義）。個人情報の機密性を維持するとは漏洩等を起こさないことであり、完全性を維持するとは個人情報の正確性の維持や内容が改竄されないようにすることであり、可用性を維持するとは個人情報を使いたいときに使えるようにしておかなければならないということです。

PMS運用では機密性に重点が置かれる傾向があり、完全性や可用性はあまり整備されていないことがあります。この点、附属書Cには個人情報の機密性・完全性・可用性の観点からの管理目的・管理策が記載されています。内部監査や日常点検においては、個人情報のセキュリティの視点からチェック項目を再検討することで、社内ルールの再整備が機能的に改善することができます。

プライバシーマークは組織に付与されるものですが、新規格の本文にはリーダーシップやコミュニケーションも求められています。どちらも明確にあてはまる日本語がない点で共通しています。リーダーシップというとリーダーの統率力や牽引力のように思われがちですが、それだけではなくフォロワーへのサポートも含まれます。リーダーシップはリーダーとフォロワーの間に生じる力のことで、団体競技でいう監督と選手の関係性ともいえます。リーダーとフォロワーの良好な関係性が勝利（業績）を生み出します。それは良好なコミュニケーションがあってこそ可能となります。ちなみにコミュニケーションは支援という一要素として新規格に盛り込まれています。

新規格では個人情報保護目的を達成することが要求されており、それは法の目的である「個人情報の適正な取扱いを通じて本人の権利利益を保護すること」にほかなりません。そのためには、組織が取扱う個人情報とは何かを理解し、想定されるリスクに応じた管理策を社内で共有化し、事故等が起こらないよう社内ルールを整備することが大切です（附属書Cでは個人情報セキュリティ事象やその弱点の報告手順にも言及しています）。

プライバシーマークの審査をパスしたから個人情報保護目的を達成していると判断するのでは早計です。新規格は、組織が設定した個人情報保護目的の達成度を評価せよと要求しています。また序文には、「この規格は、組織自身の個人情報保護要求事項を満たす組織の能力を、組織の内部で評価するためにも、また、外部関係者が評価するためにも用いることができる」とあります。以上のような新たな取組みはISMSの神髄ともいえます。　

より適正な個人情報の取扱いができるためのPMS再構築を目指していきましょう。