Pマークの規格 『JISQ15001:2023』が発行されました!

『バルクコンサルタントが斬る!』シリーズでは、バルクのコンサルタントが専門家視点で情報マネジメントコラムを執筆しています。

JIS Q 15001:2023が2023年9月20日に発行されました

JIS Q 15001:2023個人情報保護マネジメントシステム―要求事項が9月20日に発行されました。新規格は一般社団法人日本規格協会のWEBサイトで購入できます。また日本産業標準調査会のサイトでも閲覧できます(事前にユーザー登録が必要です)。

新規格JIS Q 15001:2023の適用時期

これまでPマークの要求事項はJISQ15001:2017(実質的には2022年4月1日からは、JIPDECが発行した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針(以下、審査指針)」が審査基準として機能しています)でしたが、こちらの発行は2017年12月20日で、実際の審査に適用となったのは2018年8月1日からでした。この流れからすると、JISQ15001:2023が審査に適用されるのは2024年4月1日以降ではないかと予想されます。

JIPDECのホームページには審査指針につきましては、「JIS Q 15001の改正内容を踏まえて改定する予定です」とアナウンスされています。おそらく、新規格での審査実務や運用時期についてのセミナーも開催されるでしょう。

規格改訂といっても審査指針が「JIS本文および改正保護法対応」のため2022年4月1日から適用(同年4月28日改訂)されていますので、JISQ15001:2023はこれとの整合性を取りつつ、規格本文と附属書Aとの位置づけを調整するものになりました。詳しくは、本コラムに掲載してまいります。

新規格JIS Q 15001:2023の構成

新規格JIS Q 15001:2023の目次(本文部分)は、下記のようになっています。

規格本文の要求事項はこれまでと同じで、4 組織の状況、5 リーダーシップ、6 計画策定、7 支援、 8 運用、9 パフォーマンス評価、10 改善までは同じです。この構成は同時期に発行されたJISQ27001:2023と同じです。しかし、その細目を見ていくと微妙に異なります。

大雑把に言うと「情報セキュリティ」を「個人情報保護」に書き換えている程度です。これは、前回の改訂であるJISQ15001:2017の規格本文の空文化となった根本は改善されていないということです。今回の規格改訂の意図は、規格本文を「PMS」のMS(マネジメントシステム)部分の要求事項とし、P(個人情報)部分の要求事項を附属書Aとに切り分けることにあったということです。これで審査指針の目次構成とJISQ15001:2023とを比較しやすくなるはずです。

規格のバグは解消された!? 

JISQ15001:2017ではふたつの”MS”(マネジメントシステム)が混在していた

JISQ15001:2017の改訂により、規格本文と附属書Aに異なる二つのMS(マネジメントシステム)が規定されてしまいました。理由は、複数のISO規格とPマークの運用を行っている組織もあることからPMS運用におけるMS部分をISOの共通文書に「調和させる?」目論見があったからと思われます。ところが、JISQ15001:2017の本文は、JISQ2701:2014の本文における「情報セキュリティ」を「個人情報保護」という用語に置き換えたようなもので、改訂前のJISQ15001:2006におけるMS部分は附属書Aに残したままだったため、どうやってMS運用すればいいのかという問題に直面しました。

空文化した規格本文

そのため審査実務では、PMS運用の審査にあたっては、附属書Aの要求事項を満たしていれば、規格本文を満たしているとみなすとし、事実上、JISQ15001:2017の本文が空文化し、附属書Aが要求事項という建付けになってしまいました。

さすがにこれはおかしいでしょう、ということで、2022年4月1日の改正個人情報保護法の施行を受けて、JIPDECから審査指針が発行され、現在のPマーク審査基準として機能しております(なおJISQ15001:2023の発行を受けて、審査指針も改訂されます)。

その際、審査審において、JISQ15001:2017規格本文は「トップインタビューのヒアリング項目」として活用されることになり、空文化状態は解消されませんでした。

本文は”MS”(マネジメントシステム)・附属書Aは”P”(個人情報)の要求事項

PMSとは、Personal information protection Management Systems(個人情報保護マネジメントシステム)の略です。本文はMS部分として整理統合化されました。ただJISQ27001:2023の「情報セキュリティ」を「個人情報保護」に置き換えただけの部分が多く、PMSに必要な箇条も追加しており、共通文書を勝手に修正するのはどうかと思います。

P部分は個人情報保護法の義務規定との対応関係が明確になっており、わかりやすく整理されました。ただPマークのほうが法律の義務よりも厳しいことを要求しており、法改正を先取りしているような感じです(GDPRを意識)。もっとも法令に留まらずガイドラインも随時更新されていきます(現在、パブコメ中)ので、こちらも定期的に確認して、必要な対応を忘れないようにしなければいけません。

個人情報の漏えいが問題なのではなくその影響が問題

JISQ15001:2023によると個人情報保護とは、「組織が自らの事業のように供する個人情報について、その有用性及び個人の権利利益に配慮しつつ、保護すること」とあります。

ちなみに個人情報保護法の第1条における目的規定には、「(前略)個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。」とあります。個人情報の有用性と個人の権利利益の保護という相反するものの調和を図ることが大切ですが、法の趣旨は「個人の権利利益の保護」にあるといえます。個人情報の漏えい等により個人権利利益が損なわれる(プライバシー情報の漏えいによる精神的侵害やクレジットカードの不正利用による財産的侵害が生じる)からです。漏えいを防ぐ対策は漏えいによる影響を踏まえたものでなくてはいけません。

執筆:株式会社バルク シニアコンサルタント 伊地知 克哉