（画面は審査基準の抜粋です。クリックすると拡大します）

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会（JIPDEC）プライバシーマーク推進センターは、2017年版JIS（JIS Q 15001:2017）に基づく、プライバシーマークの審査基準を発表しました。概要をまとめます。

（１）「附属書Aにもとづく審査」の方針が明確に

今回の2017年版JISにおいては、本文の構成が大幅に見直されたことから、審査基準がどのようになるのか注目が集まっていましたが、「附属書Aにもとづく審査」という方針が明確に示されました。

今回の審査基準は、附属書Aの項目にもとづいて記載されており、2017年版JISの本文の内容からくる内容はほとんど見られません。

ご存知の方も多いと思いますが、附属書Aは2006年版JISの本文の項目をほぼ引き継いで、個人情報保護法の改正内容を盛り込んだものであり、比較的見慣れた内容になっています。

従って、更新の方が今後の審査に臨むにあたって、2017年版JISで登場した「利害関係者」「力量」「リスク所有者」「リーダーシップ」「コミットメント」といったような新しい言葉や概念を盛り込む必要もなさそうですし、規程の内容を大幅に見直す必要はなさそうです。

（２）確認方法とエビデンスが明確になり、規程スリム化が可能かも

今回の審査基準では、確認方法とエビデンス（証拠書類）が明確に示されました。

例えば、上記の画面イメージで抜粋した「A3.2.1 内部向け個人情報保護方針」において、「組織内に伝達し、必要に応じて、利害関係者が入手可能にするための措置を講じていること」という項目の確認方法とエビデンスが「トップマネジメントによる説明」と「措置」とされています。すなわち、個人情報保護方針をどのように公開しているのかについては、トップマネジメントが口頭で説明をして、実際にそれが実行されていればよいということになります。

従来の審査基準には「（文書審査）従業者及び一般の人が入手できるための手段を、具体的に定めていること」とありましたので、個人情報保護方針をどのように公開するかという内容を規程に明記しておく必要がありました。2017年版JISにおける審査においては、この内容を規程から省略してもよいことになると思われます。

すなわち、詳細についてもう少し動向を見極めたほうがいいと思いますが、今回の2017年版JISへの移行において、既存の規程がスリム化できる可能性が出てきました。

（３）ガイドライン第3版はもう少し後に出てくるようです

今回の審査基準はガイドライン第3版として出てくるのかと思っていたのですが、内容が少なめで、以前のガイドライン第2版を置き換えるものとはなっていません。どうもこちらはもう少し後で出てくるようです。

https://privacymark.jp/system/operation/jis_kaisei/index.html
https://privacymark.jp/system/guideline/pdf/pm_shinsakijun.pdf

（私のコメント）
ついに審査基準が出てきましたね。上記でも書きましたように、思ったよりも審査は変わらないと言えば変わらないのですが、一方でスリム化できるところもあるようですし、今後も細かく精査していきます。

なお、2月21日に「Pマークの審査はどう変わる？JIS Q 15001改正対応セミナー」と題したセミナーを開催いたします。上記の内容も盛り込んで、しっかりご説明するつもりです。お席がかなり埋まってきておりますので、お早めにお申し込みください。

Pマークの審査はどう変わる？JIS Q 15001改正対応セミナーを2月21日に開催いたします！

また、何か情報が入りましたら、皆様にシェアいたしますね。