10月にプライバシーマークの要求事項であるJISQ15001:2006が改訂されました。
要求事項本文の改訂ではないので、文書類全体の見直しを行う必要性はないですが、主な変更点2点をこのブログでも取り上げたいと思います。
3.3.6計画書の解説
1点目は規格(JISQ15001:2006)の3.3.6計画書の解説部分である3.2.6の改訂です。
プライバシーマークにおいて、計画書は教育、監査のみ要求されていてその2つの計画書のみを作成している会社が多かったですが
今回の改訂では、単に教育や監査の計画だけではなくマネジメントシステムの見直しで把握された課題等も計画書に書き起こし管理していくことが望ましいと記載されています。
例えば、リスク管理の中で諸事情で対策を見送った内容等を計画書に書き、中長期的な視点で実施のための管理を行なっていくことなどが考えられます。
さらに具体的に掘り下げて話すると、リスク管理を行う上で予算上の理由で対策が取れないものがあり、それを残存リスクとしていた場合対応計画書のようなものに書き起こし翌年のマネジメントレビュー等で議題に上げ、導入を検討する。ということがあげられます。
3.4.2.8提供に関する措置の解説
2点目は 規格の3.4.2.8提供に関する措置の解説部分である3.4.8になります。
内容は「事業の承継」に関してです。以下に該当部分を抜粋します。
「事業の承継のために,契約を締結するより前の交渉段階で,相手会社から自社の調査を受け,自社の個人情報を相手会社へ提供する場合は,当該個人情報の利用目的及び取扱方法,漏えい等が発生した場合の措置,事業承継の交渉が不調となった場合の措置等,相手会社に安全管理措置を遵守させるため必要な契約を締結する必要がある。」
※JISQ15001:2006個人情報保護マネジメントシステム-要求事項解 説(2011 年改訂)から一部抜粋
事業承継の交渉段階で個人情報を相手に渡す場合は取扱について秘密保持の契約を交わしなさい。というような内容になっています。
実際事業承継という事態が発生することはなかなかないかもしれませんが重要な内容でもあると言えます。
今回は解説の変更なので、プライバシーマークの審査基準に変更が生じることはないようですが、現地審査や文書を見直しする際には注意すべき点であると言えるでしょう。
