SAAJ近畿支部第172回定例研究会報告 (報告者:荒牧 裕一)

会員番号 0655 荒牧 裕一(近畿支部)

1.テーマ  「【JIS Q 15001:2017】~SAAJ個人情報保護監査研究会の考察~」
2.講師    認定NPO日本システム監査人協会 副会長
        個人情報保護監査研究会主査、プライバシーマーク主任審査員
        斎藤 由紀子 氏
3.開催日時  2018年3月16日(金) 18:30〜20:30
4.開催場所  大阪大学中之島センター 2階 講義室201

5.講演概要

講師はSAAJ個人情報保護監査研究会の主査をされていますが、研究会では、2014年12月の「6ヶ月で構築する個人情報保護マネジメントシステムハンドブック」(以下PMSハンドブック)の上梓後、2013年5月31日の番号利用法制定、2015年9月9日の個人情報保護法の改定を研究テーマとし、これら法令等の個人情報保護マネジメントシステム(以下、「PMS」という。)への影響を考察して、PMSハンドブックの読書会員向けに、改定した規定、および様式を提供されてきました。
2017年12月20日、日本規格協会から「個人情報保護マネジメントシステム-要求事項【JIS Q 15001:
2017】」が発表されました。2018年3月1日現在、その審査基準は十分に示されてはいませんが、研究会ではそれに基づいてできる限り客観的に、普遍的に、事業者が構築できるPMSを提案していこうと活動を行っています。
今回は、その成果の一部をご紹介いただきました。なお、講演の際に配布された資料はSAAJ会報4月号の原稿であり、続きについても順次連載される予定です。

<講演内容>

(1) はじめに

【JIS Q 15001:2017】の附属書A(規定)には、旧版(2006年版)の本文に存在していた、「~すること」等の管理策が示されており、2018年8月1日より、プライバシーマーク付与適格性審査においては附属書Aが基準となる。また、附属書(参考)には、附属書Aの管理策に関する補足が記載されている。これは2006年版規格解説に当たるもので、「~することが望ましい」ことが示されている。PMSをより効率的に確実に運用するために、附属書Bは大いに参考になる。
今回は、これらを踏まえた個人情報取扱規定のサンプルを見ながら、プライバシーマーク(以下、「Pマーク」という。)審査において事業者が勘違いしやすいポイントを説明していきたい。

(2) 適用範囲、用語の定義

PMSの適用範囲は、2006年版と変更なく、事業者単位である。
用語の定義については、「個人情報保護法による」とされたことにより、PMSとしての用語が省略された。

(3) 一般要求事項、個人情報保護方針

トップマネジメントへのインタビュー項目として、①個人情報保護目的を説明できること、②内部向け個人情報保護方針を文書化した情報を、組織内に伝達し、必要に応じて、利害関係者が入手可能にするための措置を講じていること、③外部向け個人情報保護方針を文書化した情報について、一般の人が入手可能な措置を講じていること、等が挙げられる。
内部向け個人情報保護方針には、方針の内容についての問い合わせ先掲載については問わない。
外部向け個人情報保護方針については、組織のトップページから、外部向け個人情報保護方針へのリンクがあることが必要である。

(4) 計画

個人情報の特定にあたっては、台帳の件数は、概数でもよいが、できるだけ人数を記したほうが良い。また、要配慮個人情報を取り扱っている部門では、台帳に「本人同意の有無」の項目が必要となる。個人情報保護法では個人情報と個人データを区別しているが、JISでは同様に取り扱うこととなる。
リスクアセスメント及びリスク対策については、特定したリスクに対する対策については、「運用の確認の記録」により、リスクが顕在化していないかを点検する必要がある。
計画策定においては、計画に含まれるべき項目はあまり変わっていない。ただし、PDCAのすべてのフェーズで是正措置に繋げることが必要である。

(5) 実施及び運用

2016年の個人情報保護法改正により、要配慮個人情報の概念が加わり、これを取得、利用又は提供する場合は、あらかじめ書面による本人の同意を得ていることが求められる。この概念は、JIS2006で既に規定されており、その範囲も実質的には同じだと考えられる。この面では、法律がJISに追いついて来たともいえる。
個人情報を取得した場合の措置については、公表文書「個人情報の取り扱いについて」に特定された利用目的が公表されていることが必要である。受託によって取得した個人情報についても、その利用目的を公表する。
共同利用する者から個人情報を取得する場合でも、その共同利用者が共同利用に関する公表の措置を講じていない場合は、本人に連絡又は接触する際に本人同意が必要となる。
新規追加された外国にある第三者への提供の制限は、EUの一般データ保護規則(GDPR)の動向次第の面がある。また、匿名加工情報も法改正で新たに加わったが、実際にこれを利用する事業者は少なく、審査基準も明確にはされていない状況である。
委託先の監督については、「委託先の選定記録」に、委託する個人データの内容が記されている必要があるが、何を委託しているのかを把握していない事業者も未だ多い。

(6) 文書化した情報、苦情及び相談への対応

文書化した情報については、「記録を除く情報」と「記録」とに分けて管理の規定を行う。
苦情と開示は別個に規定する必要があるが、これを一緒に規定してしまう事業者が多い。

(7) パフォーマンス評価、マネジメントレビュー、是正措置

パフォーマンス評価のうち「運用の確認」は、残存リスクが顕在化していないか、リスク対策が実施できているかなど、日常業務において気づいた点があれば、それを是正及び予防していくものであるため、小規模な組織であっても、「運用の確認」を行うことが望ましい。
内部監査においては、「JISとの適合性監査」の後、「運用監査」を実施していることが必要である。
トップマネジメントは、マネジメントレビューを実施するために、少なくとも年一回、適宜にPMSの状況について個人情報保護管理者からの報告を受けてPMSを見直さなければならない。
不適合に対する是正措置に含めなければならない事項とその実施者は次のとおりである。
①不適合の内容を確認する(代表者)
②不適合の原因を特定し、是正措置を立案する(個人情報保護管理者)
③期限を定め、立案された措置を実施する(代表者)
④実施された是正措置の結果を記録する(不適合があった部門の長)
⑤実施された是正措置の有効性をレビューする(個人情報保護管理者、代表者)

(8) 質疑応答

講演の後に質疑応答がなされ、以下の質問を始め、多くの質問・感想が寄せられた。
Q:Tポイント等の共同ポイントにおいて、個人情報の利用に関する規約の改定が頻繁に行われることについてどう思われるか。
A:規約の改定ごとに同意をとっていない点に問題があると感じている。

6.所感

 私のように、プライバシーマークの審査機関や取得企業での勤務経験のない者は、審査実務に関する知識も経験も乏しいですが、そのような者でも良く理解できるように具体例を挙げながらポイントを説明してくださり、非常に参考になりました。また、JISの規定に沿って話を進めていただいたので、体系的の中での位置づけも良くわかりました。
講演でも触れられましたが、GDPRのスタートが5月に控えています。また、今年に入ってFacebookからの個人情報漏洩が明らかになるなど、個人情報保護の要求レベルはますます高まってきていると感じます。企業にとって、JISQ15001の基準を守ることは、必要条件ではあっても決して十分条件ではないことを認識しつつ、PMSの維持・改善のための不断の努力を行う必要性を改めて感じました。

以上