HOME » Pマーク新審査基準構築・運用指針対応
プライバシーマーク制度の審査基準が変更されました
JIPDECが「構築・運用指針」を公表

2021年8月に「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針(以下、「構築・運用指針」という。)」と「審査基準(改訂版)」※が公表され、2022年4月1日以降のプライバシーマーク新規・更新申請から「構築・運用指針」への適用が開始されました。
事業者様は、「構築・運用指針」に基づいて、個人情報保護マネジメントシステムを構築・運用することが求められており、2022年4月1日以降に申請する事業者様は「構築・運用指針」に対応する必要があります。

※「審査基準」については、プライバシーマークの審査を受ける事業者様が「構築・運用指針」に則って個人情報保護マネジメントシステムを構築・運用していることを、審査にて確認する旨を示す内容へ改訂

< 構築・運用指針とは? >
「構築・運用指針」は、プライバシーマーク制度が、JISならびに個人情報保護法へ対応した個人情報保護マネジメントシステムの考え方および具体的な対応などを、 事業者様にお示しするものです。
付与事業者様におかれましては、「構築・運用指針」に基づいて、個人情報保護マネジメントシステムの構築・運用をお願いいたします。
< 構築・運用指針と新たな審査基準の適用について >
構築・運用指針と新たな審査基準の適用について

※旧法:旧個人情報保護法
※改正法:令和2年、令和3年改正個人情報保護法の一部
※JIPDEC:審査基準と解説【運用イメージ】(https://privacymark.jp/system/guideline/outline.html#01)より編集

「構築・運用指針」のポイント
「構築・運用指針」は、大きく2つの観点から変更されています。
① JIS本文の内容を明記 1つ目のポイントは、「構築・運用指針」にJIS規格(JIS Q15001)の「本文」に関する内容が明記されたことです。
JISの構成は本文+附属書A・B・C・Dで構成されています。これまでの審査は附属書Aに基づいて審査が行われていました。しかし、「構築・運用指針」では、“JIS本文の内容をわかりやすい形で事業者へ示し、実際に個人情報保護マネジメントシステムを構築・運用する際の具体的な実施内容との関係性を明確にすることを目的”として、JIS本文の内容が追加され、付属書Aの要求事項とあわせ整理されています。 これに伴い、「構築・運用指針」の章構成がISO認証の「MSS(Management System Standard)共通テキスト」と似た構成になっています。
また、要求事項の項番が新たにJ項番+表題で整理されたため、要求事項が大きく変わったと感じる担当者の方もいるかもしれません。 今回、追加されたJIS本文は、一部文書化要求がない(2022年4月時点)ため、「構築・運用指針」の要求事項の項番通りに既存規程類を改訂することは必須ではありません。しかし、追加されたJIS本文の内容は、トップマネジメント(代表者)の役割に強く関連しています。そのため、現地審査のトップインタビューでトップマネジメント(代表者)がその意味を理解し、回答する必要があるでしょう。
< 構築・運用指針の構成 >
構築・運用指針の構成
構築・運用指針の構成
② 改正個人情報保護法への対応 2つ目のポイントは、2022年4月1日に施行された改正個人情報保護法への対応です。改正個人情報保護法については、個人情報保護委員会のWebサイトでも専用ページが設けられ、各事業者様の対応ポイントなども公表されています。 個人情報保護委員会:改正個人情報保護法 特集 https://www.ppc.go.jp/news/kaiseihou_feature/ これに伴い、プライバシーマーク付与事業者様も改正個人情報保護法への対応が必要になりました。しかし、現行JISでは、法令遵守の要求事項はあるものの、具体的な改正個人情報保護法の法的要求事項は明記されていません。そのため、今回公表された「構築・運用指針」では、改正個人情報保護法に対応できるよう基準を設け、審査の際に、法対応を含めた個人情報保護マネジメントシステムが運用されているかを審査できるよう見直されています。 個人情報保護法の改正内容には、「仮名加工情報」「個人関連情報」などの新しい用語の定義が追加されたほか、開示等の電磁的記録による対応の必須化、情報漏えい時の報告・本人への通知義務化などがあります。それらの法律に対応する内容も「構築・運用指針」に含まれました。そのため、取り扱っている情報(「仮名加工情報」「個人関連情報」)の確認、緊急事態の手順など規程類の見直しが必要です。また、社外公表事項の差替えが必要なケースもあります。
「構築・運用指針」対応は当社へ!!
「構築・運用指針」に対応するためには、プライバシーマーク付与事業者様は規程や様式の見直しは必須です。担当者の方は、通常の運用業務に加えて、情報収集から、慣れない社内規程の見直しまで対応する必要があり、作業工数の増加が想定されます。 弊社では、以下のコンサルティングメニューをご用意しておりますので、是非、お気軽にお問い合わせください。
「構築・運用指針」対応
 フルコンサルティング
貴社のPMS文書を「構築・運用指針」に対応させる文書類見直し支援、申請書・運用記録の作成支援、文書審査・現地審査の改善対応支援のフルコンサルティングメニューです。
プライバシーマークの新規付与を目指す事業者様も、こちらをご検討ください。
「構築・運用指針」対応
 PMS文書改訂支援コンサルティング
貴社のPMS文書を「構築・運用指針」に対応させる文書類見直し支援に限定したコンサルティングメニューもご用意しております。
既にJISQ15001:2017に準拠したPMS文書があり、「構築・運用指針」準拠のため、PMS文書を見直されたい事業者様におすすめです。
その他、貴社のご要望に応じた支援を実施しております。前任者が退職され、何から取り掛かればよいか分からないなど、プライバシーマーク制度に関する困りごとは何でもご相談ください!
ISO規格改訂支援のご相談はこちらへ