<aside> <img src="/icons/book_green.svg" alt="/icons/book_green.svg" width="40px" /> まとめ
</aside>
| JIS Q 15001:2023 | JIS Q 15001:2017 |
|---|---|
| 0 序文 | 0 序文 |
| 0.1 一般 | ー |
| 0.2 概要 | 0.1 概要 |
| 0.3 他のマネジメントシステム規格との近接性 | 0.2 他のマネジメントシステム規格との近接性 |
| 1 適用範囲 | 1 適用範囲 |
| 2 引用規格 | 2 引用規格 |
| 3 用語及び定義 | 3 用語及び定義 |
| 3.1 マネジメントシステムに関する用語 | ー |
| 3.2 個人情報保護リスクアセスメント及び対応に関する用語 | ー |
| 3.3 個人情報保護に関する用語 | ー |
| 4 組織の状況 | 4 組織の状況 |
| 4.1 組織及びその状況の理解 | 4.1 組織及びその状況の理解 |
| 4.1a) 法令,国が定める指針その他の規範 | A.3.3.2 法令,国が定める指針その他の規範 |
| 4.2 利害関係者のニーズ及び期待の理解 | 4.2 利害関係者のニーズ及び期待の理解 |
| 4.3 個人情報保護マネジメントシステムの適用範囲の決定 | 4.3 個人情報保護マネジメントシステムの適用範囲の決定 |
| 4.4 個人情報保護マネジメントシステム | 4.4 個人情報保護マネジメントシステム |
| A.3.1.1 一般 | |
| 5 リーダーシップ | 5 リーダーシップ |
| 5.1 リーダーシップ及びコミットメント | 5.1 リーダーシップ及びコミットメント |
| 5.2 方針 | 5.2 方針 |
| 5.2.1 個人情報保護方針 | 5.2.1 内部向け個人情報保護方針 |
| 5.2.2 外部向け個人情報保護方針 | |
| 5.2.2 個人情報保護方針の記載事項 | A.3.2.1 内部向け個人情報保護方針 |
| A.3.2.2 外部向け個人情報保護方針 | |
| 5.3 役割,責任及び権限 | ー |
| 5.3.1 一般 | 5.3 組織の役割,責任及び権限 |
| 5.3.2 役割,責任及び権限の割当て | A.3.3.4 資源,役割,責任及び権限 |
| 6 計画策定 | 6 計画 |
| 6.1 個人情報の特定 | A.3.3.1 個人情報の特定 |
| 6.2 リスク及び機会への取組 | 6.1 リスク及び機会に対処する活動 |
| 6.2.1 一般 | 6.1.1 一般 |
| 6.2.2 個人情報保護リスクアセスメント | 6.1.2 個人情報保護リスクアセスメント |
| A.3.3.3 リスクアセスメント及びリスク対策 | |
| 6.2.3 個人情報保護リスク対応 | 6.1.3 個人情報保護リスク対応 |
| A.3.3.3 リスクアセスメント及びリスク対策 | |
| 6.3 個人情報保護目的及びそれを達成するための計画策定 | 6.2 個人情報保護目的及びそれを達成するための計画策定 |
| A.3.3.6 計画策定 | |
| 6.4 変更の計画策定 | ー |
| 7 支援 | 7 支援 |
| 7.1 資源 | 7.1 資源 |
| 7.2 力量 | 7.2 力量 |
| 7.3 認識 | 7.3 認識 |
| A.3.4.5 認識 | |
| 7.4 コミュニケーション | ー |
| 7.4.1 一般 | 7.4 コミュニケーション |
| 7.4.2 苦情及び相談への対応 | A.3.6 苦情及び相談への対応 |
| 7.4.3 緊急事態への対応 | A.3.3.7 緊急事態への対応 |
| 7.5 文書化した情報 | 7.5 文書化した情報 |
| 7.5.1 一般 | 7.5.1 一般 |
| A.3.5.1 文書化した情報の範囲 | |
| 7.5.1.1 内部規程 | A.3.3.5 内部規程 |
| 7.5.1.2 この規格が要求する記録 | A.3.5.3 文書化した情報のうち記録の管理 |
| 7.5.2 文書化した情報の作成及び更新 | 7.5.2 作成及び更新 |
| A.3.5.2 文書化した情報(記録を除く。)の管理 | |
| A.3.5.3 文書化した情報のうち記録の管理 | |
| 7.5.3 文書化した情報の管理 | 7.5.3 文書化した情報の管理 |
| A.3.5.2 文書化した情報(記録を除く。)の管理 | |
| A.3.5.3 文書化した情報のうち記録の管理 | |
| 8 運用 | 8 運用 |
| 8.1 運用の計画及び管理 | 8.1 運用の計画及び管理 |
| A.3.4.1 運用手順 | |
| 8.2 個人情報保護リスクアセスメント | 8.2 個人情報保護リスクアセスメント |
| 8.3 個人情報保護リスク対応 | 8.3 個人情報保護リスク対応 |
| 9 パフォーマンス評価 | 9 パフォーマンス評価 |
| 9.1 監視,測定,分析及び評価 | 9.1 監視,測定,分析及び評価 |
| A.3.7.1 運用の確認 | |
| 9.2 内部監査 | 9.2 内部監査 |
| A.3.7.2 内部監査 | |
| 9.3 マネジメントレビュー | 9.3 マネジメントレビュー |
| A.3.7.3 マネジメントレビュー | |
| 10 改善 | 10 改善 |
| 10.1 継続的改善 | 10.2 継続的改善 |
| 10.2 不適合及び是正処置 | 10.1 不適合及び是正処置 |
| A.3.8 是正処置 | |
| JIS Q 15001:2023<附属書A> | JIS Q 15001:2017<附属書A> |
| A.1 利用目的の特定 | A.3.4.2.1 利用目的の特定 |
| A.2 利用目的による制限 | A.3.4.2.6 利用に関する措置 |
| A.3 不適正な利用の禁止 | ー |
| A.4 適正な取得 | A.3.4.2.2 適正な取得 |
| A.5 要配慮個人情報などの取得 | A.3.4.2.3 要配慮個人情報などの取得 |
| A.6 個人情報を取得した場合の措置 | A.3.4.2.4 個人情報を取得した場合の措置 |
| A.7 A.6 のうち本人から直接書面によって取得する場合の措置 | A.3.4.2.5 A.6 のうち本人から直接書面によって取得する場合の措置 |
| A.8 本人に連絡又は接触する場合の措置 | |
| A.3.4.2.7 本人に連絡又は接触する場合の措置 | |
| A.9 データ内容の正確性の確保等 | |
| A.3.4.3.1 正確性の確保 | |
| A.10 安全管理措置 | |
| A.3.4.3.2 安全管理措置 | |
| A.11 従業者の監督 | A.3.4.3.3 従業者の監督 |
| A.12 委託先の監督 | A.3.4.3.4 委託先の監督 |
| A.13 漏えい等の報告等 | ー |
| A.14 第三者提供の制限 | A.3.4.3.8 個人データの提供に関する措置 |
| A.15 外国にある第三者への提供の制限 | A.3.4.3.8.1 外国にある第三者への提供の制限 |
| A.16 第三者提供に係る記録の作成等 | A.3.4.3.8.2 第三者提供に係る記録の作成など |
| A.17 第三者提供を受ける際の確認等 | A.3.4.3.8.3 第三者提供を受ける際の確認など |
| A.18 個人関連情報の第三者提供の制限等 | ー |
| A.19 保有個人データに関する事項の公表等 | A.3.4.4.3 保有個人データに関する事項の周知など |
| A.20 開示 | A.3.4.4.5 保有個人データの開示 |
| A.21 訂正等 | A.3.4.4.6 保有個人データの訂正,追加又は削除 |
| A.22 利用停止等 | A.3.4.4.7 保有個人データの利用又は提供の拒否権 |
| A.23 理由の説明 | ー |
| A.24 開示等の請求等に応じる手続 | A.3.4.4.2 開示等の請求等に応じる手続 |
| A.25 手数料 | A.3.4.4.2 開示等の請求等に応じる手続 |
| A.26 個人情報取扱事業者による苦情の処理 | ー |
| A.27 仮名加工情報 | ー |
| A.28 匿名加工情報 | A.3.4.2.9 匿名加工情報 |
<気になる点(20231021追記)>
| 本文の文書化は必要か? | これまで附属書Aベースで規定されていた場合、抜けている本文の項目についてどこまで文書化が必要か? |
|---|---|
| 6.1 個人情報の特定 | 「仮名加工情報」「匿名加工情報」「個人関連情報」の管理を要求。(附属書B.6.1 個人関連情報の提供を受け個人データとして取得(台帳必須)、個人関連情報を提供し、提供先で個人情報になる場合(台帳推奨)) |
| →リスクアセスメントも必要?? | |
| 7.2 力量 | 「力量管理表」みたいなものは必要??これまで通りの全社教育でOK? |
| A.10 安全管理措置 | 附属書Dに「JIS Q 27002:2014 の箇条番号に対応している。」とあるが、最新版は「JIS Q 27001:2023」(まだ対応していない)。これは2023に読み替える感じかな。 |
| A.15 外国にある第三者への提供の制限 | 海外クラウドは? |
| ①保管データに対するアクセス権がないこと及び安全管理措置に関する取り決め、契約、規約等がある | |
| ②①について継続的に担保できる(管理できている) | |
| →①②を満たせば第三者提供ではない。(従来通り?) |
※結局、委託先管理に含めるのが妥当かと。 |