2005(H17)年4月1日の「個人情報保護に関する法律」が施行されたことを受けてJIS規格である
プライバシーマーク制度が2006(H18)年5月20日にJIS Q15001:2006
(以下:新JISまたは2006年版)として制定されました。
これに伴い、更新審査申請及び新規申請は2006(H18)年11月19日までは、新旧JISのどちらか選択で可能でしたが、2006(H18)年11月20日以降は、新JISのみになっています。
プライバシーマーク制度の付与認定期間は2年間のため、2006(H18)年11月19日までに申請
し、認定された企業様の多くは、旧JISでプライバシーマークを取得していると思います。
これから、更新審査を申請するには、新JISに適合した規程に基づく運用の実績が無ければなりません。
(申請までに1回以上のPDCAサイクルの実施が必要です)
| Plan |
個人情報保護基本規程(個人情報保護マニュアルなど)および内部規程が新JIS(JIS Q15001:2006)に適合し整合が取れている |
| Do |
新JISに適合した各規程は、従業者へ周知(教育)されていて、かつ実際に1ヶ月以上運用している |
| Check |
運用状況の点検が完了している(内部監査が完了している) |
| Action |
内部監査の結果を代表者に報告し、代表者による見直しが完了している |
| 新JIS規格要求事項 |
新JIS
規格番号 |
旧JIS
規格番号 |
相違(変更・追加)点 |
| 個人情報の特定 |
3.3.1 |
4.3.1 |
旧JISでは、リスク処理が含まれていたが、新JISでは3.3.3に分割 |
| 法令、国が定める指針およびその範囲 | 3.3.2 |
4.3.2 |
事業者の関連する省庁が発行しているガイドラインの特定が必要 |
| リスクなどの認識・分析及び対策 |
3.3.3 |
- |
リスク処理では、認識・分析・対策を講じる手順が強化され、目的外利用の防止手順の確立が必要【3.3.5内部規程 c)も必要になる】 |
| 資源、役割、責任及び権限 |
3.3.4 |
4.4.1 |
個人情報保護管理者から代表者へのPMSの見直し、改善の基礎となる運用状況の報告が追加【3.7.2監査、3.9代表者による見直しにも関連する】 |
| 内部規程 |
3.3.5 |
4.3.2 |
作成が要求される内部規程の数は、旧JISの6項目から15項目に増加 |
| 緊急事態への対応 |
3.3.7 |
- |
新規追加要求事項 |
| 本人へアクセスする場合の措置 |
3.4.2.7 |
- |
新規追加要求事項ではあるが、旧JIS4.4.2.5に相当する |
| 従業者の監督 |
3.4.3.3 |
- |
新規追加要求事項 |
| 個人情報に関する本人の権利 |
3.4.4.1 |
- |
新規追加要求事項
【開示対象個人情報の明確化】 |
| 開示等の求めに応じる手続き |
3.4.4.2 |
- |
新規追加要求事項 |
| 開示対象個人情報に関する周知など |
3.4.4.3 |
- |
新規追加要求事項 |
| 開示対象個人情報の利用目的の通知 |
3.4.4.4 |
- |
新規追加要求事項 |
運用の確認 |
3.7.1 |
- |
新規追加要求事項 |
| 是正処置及び予防処置 |
3.8 |
- |
新規追加要求事項 |
これ以外に大きな相違点は無いものの、小さな追加や変更が多々あります。
3.3.5(旧JIS4.3.2)内部規程は6項目から15項目に増えており、詳細に内部規程を策定する
必要がありますので、注意が必要です。
これから、新JISに適合するよう規程の改訂を計画している企業様は、
是非一度
「PMS規程書セットの利用方法」をご覧下さい。
【新旧JISの判別方法】
旧JIS(JIS Q15001:1999)の認定番号は、アルファベットから始まっています。
新JIS(JIS Q15001:2006)の認定番号は、全て数字です。
詳細はこちらで →
JIPDEC HP
※更新申請時に必要となる
「2006版JISへの対応状況を記載した書類」とは
2006年版JISへ対応するために何を実施したかを記載した記録です。
- 規程の変更
- 変更した規程に対する教育
- 変更した規程を運用してからの内部監査
- 代表者による見直し
などですが、個人情報保護管理者から代表者へ2006年版への対応が必要な旨を報告し、その指示(見直し指示)があってから準備に入ると思いますので、1.に代表者による見直し、があったほうが良いと思います。(最後にも必要)
3.の内部監査は、規程の変更をして1ヶ月以上の運用がなければ実施できませんので、ご注意ください。
