新しい基準でどう変わる?|プライバシーマーク改訂(JIS Q 15001:2023改正)を徹底解説(前編)

2023年9月20日に個人情報保護マネジメントシステムの要求事項である「JIS Q 15001:2017」が6年振りに「JIS Q 15001:2023」として改正されました。これらの改正を踏まえ、同年2023年12月25日に「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」(以下、「構築・運用指針」という。)も改訂されました。

本記事は、すでにプライバシーマーク認証を取得している企業やこれから申請を検討している企業の担当者はもちろん、改正動向や骨子を把握したい担当者が参考となる内容となっています。

過去の記事でもプライバシーマーク取得の流れやメリットを紹介していますので、ぜひ、参考にしてください。

新しい「プライバシーマーク指針」の徹底解説セミナー~「どう対応する?」の疑問に答えます~

1.  個人情報保護をめぐる環境変化の沿革と法制度の変遷

2000年代に入り、情報化の急速な進展や国際的な法制定の動向、そして、事業者による個人情報の利用が活発化していることを受け、2005年に個人情報保護法が施行されました。

2005年の個人情報保護法が施行されて以降、IT技術発展やビジネスのグローバル化など社会状況の変化など個人情報保護法制定時には想定されていなかった個人情報の利活用が大きく広がりました。

そこで、個人情報の適正な活用・流通の確保、グローバル化への対応などを目的に、2015年9月に改正個人情報保護法が公布され、2017年5月30日に改正法が施行されました。

この改正法には、将来の国際的動向の変化や情報通信技術の進歩、新しいビジネスの創出などを見越して、3年ごとに実態に見合った形で法律を見直すことも盛り込まれました。

その後、2020年の見直し審議を経て、2022年の法改正では個人情報の保護と利用のバランスのほか、国際的潮流との調和、外国事業者によるリスクの変化、AI・ビッグデータ時代への対応といった課題を解決するために改正が行われました。

2. 「個人情報保護法」の改正

個人情報保護法は、これまでに3度の大きな見直し改正が行われました。それぞれの改正について、主なポイントを紹介します。

(1)平成27年(2015年)改正法(平成29年(2017年)5月全面施行)

  • 取り扱う個人情報の数が5,000人分以下の小規模事業者を対象化
  • 「匿名加工情報」に関する制度の創設
  • 国境を越えた域外適用と外国執行当局への情報提供に関する制度の整備
  • 外国にある第三者への個人データの提供に関する規定の整備
  • 個人情報保護委員会の新設

(2)令和2年(2020年)改正法(令和4年(2022年)4月全面施行)

  • 保有個人データの利用停止・消去等の請求権の拡充
  • 漏えい等が発生した場合の個人情報保護委員会への報告及び本人通知の義務化
  • 「仮名加工情報」に関する制度の創設
  • 不適正な方法により個人情報を利用してはならない旨を明確化
  • データの提供先において個人データとなることが想定される「個人関連情報」について、第三者提供にあたっての本人同意が得られていること等の確認を義務付け

(3)令和3年(2021年)改正法

(令和4年(2022年)4月一部施行。地方公共団体などに関する部分は令和5年(2023年)4月施行)

  • これまで別々に定められていた民間事業者、国の行政機関、独立行政法人等、地方公共団体の機関及び地方独立行政法人のルールを集約・一体化するため、行政機関個人情報保護法、独立行政法人等個人情報保護法が個人情報保護法に統合されるとともに、地方公共団体の個人情報保護制度についてもこれに統合され、個人情報保護に関する全国的な共通ルールが定められた。

(出典:政府広報オンライン)

3. 個人情報保護法と「JIS Q 15001」の関係

プライバシーマーク制度の基準規格である「JIS Q 15001」は、個人情報保護法を根拠として、個人情報保護マネジメントシステム構築・運用に関する具体的なルールや運用方法等を記載しています。

今回の2022年4月に改正された「個人情報の保護に関する法律(通称:個人情報保護法)」を受けて改正され、「JIS Q 15001:2023」が発行されました。

改正個人情報保護法(2022年4月に施行)のポイント

過去にまもりの種でご紹介していますが、個人情報保護改正は6つのポイントがあります。詳細については、過去のまもりの種記事をご参照ください。

参考:【2022年4月施行】個人情報保護法改正、6つのポイントとは?

1. 個人の権利のあり方

本人が個人情報取扱事業者に対して情報開示を請求できる範囲が拡大し、自分の個人情報がどのように扱われているのかを事業者に問い合わせることが可能となります。

2. 事業者の責務が追加

個人情報保護委員会への報告は義務となり、速報(30日以内に行う)と確報(速報から30日以内に行う)の二段階に分けて実施される流れとなっています。

個人情報の取扱いについて、違法な行為を助長する可能性があるまたは誘発する場合は、個人情報の利用を禁止することができるようになります。

3. 事業者による自主的な取り組みを促す仕組み作り

現行では、認定団体制度は対象事業者の全ての分野を対象としていましたが、新法では対象事業者の特定分野に限定した団体を認定することが可能となりました。

4. データ利活用の促進

新たに「仮名加工情報」制度が新設され、仮名加工情報に当たる場合は、通常の個人情報と比べて個人情報取扱事業者に課せられる義務が緩和され、個人情報取扱事業者の負担が軽減されます。具体的には、Cookieなどの識別子情報が対象となります。

5. ペナルティの強化

措置命令・報告義務違反の罰則について法定刑が引き上げられました。

6. 外国の事業者に対する、報告徴収・立入検査などの対応

日本国内にある者に関する個人情報を扱う外国の事業者も報告徴収・命令および立入検査などの対象となりました。

「JIS Q 15001」について

1.    個人情報保護マネジメントシステム(Personal Information Protection Management Systems:略称PMS)とは

「JIS Q 15001(個人情報保護マネジメントシステム – 要求事項)」とは、個人情報の取扱いについて、適切に管理し、個人情報を守るための仕組みを指します。

各業務ごとの個人情報や個人データを把握し、取扱いに必要な体制・ルールを定めて維持するのは大変なため、仕組み化して定期的に見直すことで適切な取扱いを維持していきます。

2.    マネジメントシステムとは

日本品質保証機構のウェブサイトでは、マネジメントシステムについて以下のように説明されています。

マネジメントシステムを運用するのは、個人ではなく会社などの「組織」です。「組織」とは2人以上の集まりのことを指し、会社に限らず、地方自治体や学校、病院なども含まれます。

組織内の人々が同じ目標に向かって動いてもらうためには、「管理(マネジメント)」が必要不可欠です。

例えば、少数の社員で構成されている会社の場合、社長は社員全員の顔を見ることができ、社長が直接全体を管理することができます。

ところが社員が100人、1,000人となると、社長1人で全体を管理することは不可能になります。そこで会社としてのルールを作り、それを皆で守ることによって、会社を運営していくことになります。この会社を運営するためのルールが、「規定」や「手順」です。

さらに、規定や手順を運用するためには、部課長などの職制が必要となります。その場合、各役職の「責任」と「権限」を明確にしなければなりません。

規程や手順、そしてこれらを実際に運用するための責任・権限の体系が、「マネジメントシステム」と呼ばれます。言い換えれば、マネジメントシステムとは、目標を達成するために組織を適切に指揮・管理する「仕組み」のことであるといえます。(出典:日本品質保証機構)

3.   「JIS Q 15001」の歴史

1990年頃、インターネットが普及し個人情報取扱い環境の変化から、OECD(経済協力開発機構)は個人情報に関する8原則を定めました。

その動きを受けて、日本でJIS Q 15001:1999が制定されました。

2003年に個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的とした個人情報保護法が制定されたため、ISOのマネジメントシステムとの整合により「JIS Q 15001:2006」へ改正されました。

個人情報の流出事件等、個人情報の取扱いに関する懸念が広がり、2015年5月には個人情報保護法の大幅改正が行われました。追加された条文への対応や「要配慮個人情報」等により「JIS Q 15001:2017」は大きく変わりました。

その後、2022年4月の個人情報保護法改正で設けられた「個人関連情報」「仮名加工情報」関連の規程の追加などが行われ、付属書の構成も一部見直されました。

「JIS Q 15001:2023」改正の主なポイント

1.    改正個人情報保護法への対応

令和2年及び令和3年改正法への整合性への対応があります。具体的には、「附属書A(規定)」に仮名加工個人情報や個人関連情報の追加、保有個人データの規律変更等の反映が行われました。

※付属書A:個人情報の取得、利用、提供の際の管理策が記載されています

2.    適用範囲の考え方の見直し

事業者単位から事業者の一部や複数の事業者を対象とした規格となるよう見直されています。ここで記載している事業者の一部とは、医療機関における病院や社内会社制を敷いている会社等が該当します。

3.    マネジメントシステムに関する規定の統合

マネジメントシステムに関して規格本文(箇条4~10)に記載された個人情報保護法に対応する事項を附属書Aに規定され、該当箇所の構成が見直されました。

旧規格では、マネジメントシステムに関する事項が規格本文と附属書Aの両方に規定されていたため、今回の改正により明確になった。

4.    個人情報の特定の対象について(1.法の整合性と重複)

従来の構築運用指針において、個人情報管理台帳において特定する対象は「個人情報」に限定されていましたが、新規格では、個人情報だけでなく、匿名加工情報、仮名加工情報、個人関連情報(提供先で個人情報として取得する場合に限る)も対象となりました。

5.    クラウドサービス、倉庫業、データセンターなどのサービス利用における取扱いについて(1.法の整合性と重複)

従来のJIS Q 15001:2017・構築運用支援では「委託先の監督」はクラウドサービス事業者(倉庫会社、データーセンター等)も含めるべきとされていましたが、個人情報保護法とJIS Q 15001の差分が発生していた項目が解消されました。

JIS Q 15001:2017:B.3.4.3.4 委託先の監督より抜粋

————————————————————

委託先が倉庫業,データセンター(ハウジング,ホスティング)などの事業者であって,当該事業者に取り扱わせる情報に個人データが含まれるかを知らせることなく預ける場合であっても,委託者は委託するものが個人データであることを知っているわけであるから,A.3.4.3.4における監督の対象に含まれる。ただし,“個人データ”に関する条項を契約書に盛り込まなくてもよい。

————————————————————

「JIS Q 15001:2023」審査対応

1.   審査スケジュール

構築・運用指針(改定版)に基づいた申請の受付は、2024年10月1日より開始し、それまでは現行版での対応が必要になります。

(出典:JIPDEC「構築・運用指針(改定版)の適用」)

2.    対応スケジュール

2024年9月30日までにご申請される場合

(出典:JIPDEC「構築・運用指針(改定版)の適用」)

2024年10月1日以降ご申請される場合

(出典:JIPDEC「構築・運用指針(改定版)の適用」)

3.   改訂対応まとめ

例えば、今から「JIS Q 15001:2017」で取得した当時の規程類等を現行への対応として見直した場合、規程類の状況や確保できる作業工数によりますが、想定以上の期間を要するケースも考えられます。※「2024年10月1日以降の申請~」となるため、想定される最も早く新基準での審査を受ける事業者は「2025年6月1日の有効期限」となります。

まず、規程類や記録類の現状を把握し、「JIS Q 15001:2023」の構築・運用指針に対して対応計画を立て、対応方針を決めてから10月1日から始まる改訂版への審査に向けて対応を進めることをお勧めします。

まとめ

どのような事業を営む場合でも個人情報の取扱いがない企業はありません。

この記事を通して、個人情報の取扱いを巡る法の変遷や背景を通して、個人情報の保護や利活用に興味をもって頂ければ幸いです。

既にプライバシーマークを取得していた場合、今回の改訂への対応を軸に自社の個人情報保護マネジメントシステムについて本質的な改善につなげる良い機会となります。

今回の改訂を個人情報保護マネジメントシステムの見直しの契機として捉え、個人情報保護に関する全体的なパフォーマンスの向上に役立てることを検討するひとつの機会として頂ければ幸いです。。

次回は後編ということで、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」への対応について、より掘り下げて解説する予定です。

新しい基準でどう変わる?|プライバシーマーク改訂(JIS Q 15001:2023改正)を徹底解説(後編)へ

新しい「プライバシーマーク指針」の徹底解説セミナー~「どう対応する?」の疑問に答えます~

まもりの種:個人情報保護法改正(2022年4月施行)関連記事