今回は、2024年10月1日から施行される「JISQ15001:2023」(以下「新JISQ」とします)の改訂ポイントの解説(前編)をお送りします。なお、基本的に、2024年3月13日にJMRAで行った「JMRAプライバシーマーク説明会」で当職が講演した「新JISの改訂ポイント」の内容と同じとなります。ご承知おきください。
1 改訂ポイント①規格構造の変化
現行のJISQ15001:2017(以下「現行JISQ」とします)は、他のマネジメントシステムにも共通する組織のマネジメントシステムに関して規定した「本文」と、もう一つ前のJISQ15001:2006(以下「旧JISQ」とします)ほぼ同一構成の「附属書A」、附属書Aの解説「附属書B」、安全管理策の参考資料「附属書C」、旧JISQとの対応を示した参考資料「附属書D」で構成されていました。
この構造は、「附属書A」が旧JISQとほぼ同一構成だったために旧JISQから現行JISQへの移行が容易であった反面、「個人情報保護方針」「資源、役割、責任及び権限」等の組織のマネジメントシステムに関する規定が「本文」と「附属書A」で重複してしまう問題点がありました。
そこで、新JISQでは、「附属書A」の内容を個人情報取得時の同意や保有個人データの開示等、個人情報保護に関する管理策に限定し、組織のマネジメントシステムに関して規定した「本文」との重複をなくしました。それに伴い、本文の解説が「附属書B」、附属書Aの解説が「附属書C」と解説部分もBとCに分かれ、安全管理策の参考資料は「附属書D」、現行JISQとの対応を示した参考資料が「附属書E」になりました。
すでにPマークを取得しているJMRA会員企業にとっては、今までは事実上附属書Aのみを参照していればよかったのですが、新JISQでは「本文」も参照する必要がある点に注意が必要です(とはいっても、「本文」は、従前から現行JISQの附属書Aの中にも存在した組織のマネジメントシステムに関する規定なので、規程の改訂以外は特に新しい対策を講じる必要はないはずです)。
2.改訂ポイント②安全管理の対象が原則「個人データ」に
現行JISQでは、個人情報保護法と同じく「個人データ」という用語が使用されていたものの、「組織は,特定した個人情報については,個人データと同様に取り扱わなければならない。」(A3.3.1個人情報の特定)として、データベース化されていない「個人情報」レベルであっても委託先管理等の安全管理対策を講じる必要がありました(個人情報保護法の上乗せルール)。
これに対して、新JISQでは「個人情報保護リスクアセスメントの結果を考慮して、当該個人情報を個人データと同様に取り扱うことが適切であると判断した場合には、個人データと同様に取り扱わなければならない。」として、事業者は必ずしも「個人情報」に対して安全対策を講じなくてもよくなりました。個人情報保護法の上乗せルールが緩和されたことになります。
ただし、前回の当コラムで解説したとおり、個人情報保護法施行規則第7条や個人情報保護法ガイドラインの改訂により、法令等の要求として、「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」については、安全管理対策を講じるとともに、不正の目的をもって行われた漏洩事故の場合には個人情報保護委員会へ事故報告する必要が出てきている点には注意が必要です。
また、新JISQでも、個人情報直接書面取得時等の「あらかじめ本人に明示し、同意を得る」事項については、「個人情報を第三者に提供することが予定される場合」「個人情報の取扱いの委託を行うことが予定される場合」となっています。つまり、データベース化されない「個人情報」レベルであっても、第三者提供や委託が「予定される場合」には、その旨を明示して同意を取得する必要があるということです。「予定していなかった場合」には、新JISQでは、必ずしも「個人情報」については「個人データ」と同様には取り扱わなくてよいため、事業者は自由に第三者提供や委託に出すことが出来るはずなのですが、「予定される場合」には事前に本人同意を取得する必要があるので注意(もしくは「予定はしないでおくこと」・苦笑)が必要です。
3.改訂ポイント3 開示等の対象が原則「保有個人データ」に
現行JISQでは、開示等請求の対象となる「保有個人データ」についても、「組織は,保有個人データに該当しないが,本人から求められる利用目的の通知,開示,内容の訂正,追加又は削除,利用の停止,消去及び第三者への提供の停止の請求などの全てに応じることができる権限を有する個人情報についても,保有個人データと同様に取り扱わなければならない。」(A3.4.4.1個人情報に関する権利)と規定していたため、データベース化されていない「個人情報」レベルでも開示等の請求に応じる必要がありました(個人情報保護法の上乗せルール)。
これに対して、新JISQでは、「個人情報保護リスクアセスメントの結果を考慮して、当該個人情報を保有個人データと同様に取り扱うことが適切であると判断した場合には、保有個人データと同様に取り扱わなければならない。」として、事業者は必ずしも「個人情報」に対して開示等の請求に応じなくてもよくなりました。個人情報保護法の上乗せルールが緩和されたことになります。
4.改訂ポイント4 クラウドサービスの位置づけを変更
個人情報保護法ガイドラインQ&Aでは、クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供される場合」(法第27条第5項第1号)に該当せず、個人情報取扱事業者に法第25条に基づきクラウドサービス事業者を監督する義務はないとされています(Q7-53)。
ところが、現行JISQでは、クラウドサービスは「保管の委託」として、クラウドサービス事業者に対する「委託先の管理監督」が必要とされ、さらには、外国にある第三者のクラウドサービスを利用する際には「外国にある第三者への個人情報取扱いの委託に関する同意取得」(加えて当該外国の個人情報保護制度の周知など)が必要でした。はっきり言って、Pマークを取得すると外国のクラウドサービスを使いにくい状況でした。
そこで新JISQでは、個人情報保護法と同様に、クラウドサービス提供事業者が個人データを取り扱わないことになっている場合は、クラウドサービスの利用は個人データの「提供」や「委託」には該当せずに組織に委託先の監督義務は課されないことや、「委託」ではないので外国にあるクラウドサービス提供事業者を利用する際の本人同意等も不要であることが明記されました(C10、C12)。
ただし、事業者が自らの事業所内に設置された金庫について「穴が空いていないか?」「メンテナンス事業者を信頼してよいか?」等を確認する安全対策措置が必要なのと同様に、クラウドサービスの利用についても、事業者が自ら果たすべき安全管理措置の一環として、「情報セキュリティ対策は万全か?」「信頼できるクラウドサービス提供事業者か?」を確認する等、適切な安全管理措置を講じる必要はあります。そのため、結局は「委託先の管理監督」と似たような対策が必要になる点はご注意ください(要するに、「委託」ではないため外国クラウドサービスの利用に本人同意取得は不要となる点以外は、特に現行と変わらないと予想されます)。
次回に続きます。