JISQ15001の改正に伴う変更点とは？ 事業者はどういった対応が求められるのか解説！

皆さんは、2022年4月に改正個人情報保護法が施行されたことをご存知でしょうか。
今回の改正では、企業規模や業種は関係なく適用されることになるため、多くの事業者が対応を求められました。個人情報保護法は、もともとその特性から、他の規定や法令との関連性が高いため、改正個人情報保護法施行に伴い、様々な点で更新が行われました。

その一つにプライバシーマーク制度があります。
プライバシーマーク制度では、審査基準があり、JISQ15001を採用しています。
JISQ15001では個人情報保護法をもとに策定されるため、個人情報保護法の改正の影響を大きく受けることになります。
つまり、すでにプライバシーマークを取得してきた方も、今度取得を検討している方も、JISQ15001の改正に伴い、変更された新規格へ適切に対応することが求められます。
では、具体的にどのような変更点があり、どのような対応が求められるのでしょうか。
今回は個人情報保護に特化したセキュリティ認証の一つである「プライバシーマーク制度」が、JISQ15001の改正によって、どのような影響を受けるのかご紹介いたします。

プライバシーマークとは

まずプライバシーマークについてご説明します。
プライバシーマーク制度とは、個人情報保護のセキュリティに特化した、日本国内を代表する第三者認証制度のことを指します。経済産業省の外郭団体「JIPDEC」が管理し、取得企業数は年々増加し、2022年9月現在では、国内企業17,000社以上が取得しています。

個人情報保護マネジメントシステムの構築や運用について、適切な対応ができているかどうかを評価するもので、監査を通過し、認証を受けると「プライバシーマーク」というロゴマークで個人情報保護体制が構築され、運用している企業だと示すことができます。またプライバシーマークでは「個人の権利」を重視し、法律で定められている基準よりも厳しい管理を求めています。そのため取得した際には、取得企業への信頼度をあげることができる制度と言えます。
そのプライバシーマーク制度が、改正個人情報保護法によってどのような影響を受けるのでしょうか。

個人情報保護法の改正とプライバシーマーク制度の関連性とは

プライバシーマーク制度では、審査基準があり、それがJISQ15001です。
JISQ15001は個人情報保護法をもとに策定されるため、個人情報保護法の改正の影響を受けるのです。プライバシーマーク制度では「JIS附属書A」と言われる、企画要求事項に対しての管理目的と管理策が記された規程をもとに、取り組み内容などの確認が行われていました。そして今回の主な変更点として、この附属書Aの項目が変更されました。

個人情報保護法の変更点

・適用する対象範囲

変更前の個人情報保護法では5000人を超える個人情報を保有している事業者が適用対象でしたが、改正後の個人情報保護法では、同条項が削除され、対象となる範囲が拡大されました。 そのため保有している個人情報が5000人以下の小規模事業者であっても適用の対象となります。また、この中には個人事業主やNPO法人なども該当します。

・個人情報の分類

改正後の個人情報保護法では、個人情報の概念が新設されました。
個人識別符号、要配慮個人情報、匿名加工情の３つです。

まず個人識別符号とは、旅券番号や運転免許証番号、個人番号などの個人に割り当てられている符号や、指紋・顔認識データなどの、個人の身体の一部の特徴をデータ化したものが個人識別符号に該当します。こうした個人識別符号は、単体でも個人を特定可能な情報となるため、個人情報として新たに取り扱うようになりました。

続いて、要配慮個人情報に関してですが、こちらは以前の規格で機微な個人情報として扱われていたものです。人種や信条、病歴、犯罪歴などの第三者に知られると本人が差別などの不利益を被る可能性を含む個人情報を要配慮個人情報として、他の個人情報よりも特別な配慮をすることが定義されました。

最後に、匿名加工情報とは、もともと個人情報であるデータを誰の情報かわからないように加工し、元の状態へ復元不可能にした情報のことを指します。この匿名加工情報は個人情報に該当しないと定義され、本人の同意なしに第三者提供が可能になりました。そのため企業では匿名加工情報をもとに、ビッグデータの利活用に向けた取り組みなどを促進できるようになりました。

・罰則の追加

改正前の個人情報保護法では、個人上の不正な持ち出しや提供に関して罰する規定がありませんでした。しかし、近年のデータベースの不正提供などの事例を考慮し、改正後の個人情報保護法では、罰則が追加されました。個人情報データベースなどを事故または第三者の利益目的で、提供または登用した場合、１年以下の懲役、もしくは５０万円以下の罰金が課せられるようになりました。

・オプトアウト規則の厳格化

オプトアウトとは、個人情報保護法では個人データを第三者に提供するために、本人の承諾を必要としていますが、あらかじめ本人に通知、もしくは知り得る状況に置くことで、個人情報データの第三者提供を可能とすることを言います。改正後の個人情報保護法では、オプトアウトで第三者提供を行う場合は、個人情報保護委員会に届け出をすることが義務付けられました。ただし、要配慮個人情報の場合、そもそもオプトアウトでの第三者提供ができないため、注意が必要です。

・外国事業者への第三者提供ルール新設

近年、企業での活動がグローバル化したことによって、個人データを海外の第三者へ提供する場面が増加しました。そのため、第三者提供に関しての取り決めが新たに策定されました。
この取り決めでは、海外の第三者に個人情報を提供する際には、本人の同意が必要になるということが定められました。この海外の第三者というのは、個人データの本人及びそれを取り巻く事業者を除いた、海外にある法人のことを指しており、外国政府も含まれています。しかし、法人格の有無で判断されるため、同じ法人の現地支店や駐在所は適用外です。

・トレーサビリティ確保の義務化

個人情報におけるトレーサビリティの確保が義務付けられました。トレーサビリティとは、追跡可能性のことを指します。ここでは、個人情報のやり取りの記録を取ることで、追跡ができるようにすることを求められます。
このトレーサビリティの確保は個人情報を提供する側だけでなく、提供を受ける側にも記録の義務が生じます。必要な記録項目はいくつかありますが、例えば提供先及び、提供元の第三者の氏名や名称など、当該第三者を特定可能とする情報や個人データなどの項目があります。

事業者に求められる対応

上記で、個人情報保護法の改正内容をご紹介しましたが、事業者はどのような対応で、審査に臨むべきなのでしょうか。以下で具体的に解説します。

・個人情報保護方針の追加

個人情報保護方針では、内部向けの個人情報保護方針と外部向けの個人情報保護方針に分類されるようになりました。方針を周知する対象として、“組織内に伝達し、必要に応じて利害関係社が入手可能”としています。ここでいう利害関係者には、委託先や取引先などが挙げられます。
さらに制定年月日や最終改訂年月日、問い合わせ先についても明記する必要があります。新たに方針を追加する必要はありませんが、方針の周知の対象として“一般の人が入手可能”となっていた点に、“利害関係者”が追記された点に関しては注意が必要です。

・委託契約、選定

契約によって規定する事項に、契約終了後の措置が追加されました。よって、従来の規定の中に、委託先との契約における、この項目を追加する必要があります。

・その他

機微な個人情報から要配慮個人情報に変更されたように、用語が変更されたものがいくつか存在します。用語の変更だけでなく、対象となる情報も変更されたものもあるため、注意が必要です。
入退室に関する記録やアクセスログなどの定期的な確認を行い、対応できていないリスク対策など、気づいた点がある場合はその都度是正し、内容によっては年に１回のマネジメントレビューを待たずに、代表に報告することが必要です。

まとめ

本記事ではJISQ15001の改正に伴う変更点や、事業者に求められる対応についてご紹介しました。
さまざまな点が変更され、審査に抜けて新たな対応が求められる項目もあります。変更点をしっかりと理解した上で、期限までに対応しましょう。
プライバシーマークの取得を検討しており、新規格への対応で不安を抱えていらっしゃる事業者様は、コンサルティング会社への依頼を検討してみてはいかがでしょうか。

株式会社UPFでは、1845社のプライバシーマーク新規取得をサポートしてきた業界No.1を誇る実績があります。
プライバシーマーク取得や維持に関してお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。