プライバシーマーク続けますか?
プライバシーマークの規格であるISO15001が、
2006年の改訂以来、11年半ぶりに改定されました。
それに伴って、現在プライバシーマークを取得している企業は、
移行期間は2020年7月31日までに
ISO15001:2017(改訂版)への対応が必要です。
具体的に規格が改訂されたことにより、
何が変わったのでしょうか。
大きくは5つ
まず、
1. ISOの標準テキストを採用したことで、ISOと同じ構成になった。
2. JISQ15001:2006の規格本文の内容が、新規格では「付属書A」扱いになった
3. JISQ15001:2006の解説文書の内容が、新規格では「付属書B」扱いになった
4. 新たに付属書Cに「安全管理対策の推奨される事項」が記載されることになった
5. 個人情報がそれぞれ「個人情報」「個人データ」「保有個人データ」というかたちで区分され、
現行の 個人情報保護法に記載のある
「要配慮個人情報」「匿名加工情報」についても盛り込まれた
つまり、
「規格本文の内容が大きく変わった」
「これまでの規格は付属書扱いになった」
「安全管理において推奨される取り組みも規格の付属書に盛り込まれた」
ということです。
・・・にしても、
随分待たされたわりには、
かなり乱暴な内容に見えてしまうのは私だけではないはずです。
規格本文は、ISO 27001をコピーしただけの内容で、
付属書Aの改正法に関わる部分は全て法律・委員会規則・委員会ガイドラインへ。
一体何に時間をかけていたのか、と首をかしげてしまいます。
であれば、
ISO27001に個人情報を折り込んで情報セキュリティシステム(ISO27001)を確立しようと
ご提案とします。
なぜなら
1. プライバシーマークは日本特有のもの(海外では通用しない)
2. プライバシーマークは企業全体を対象とするが、
ISO27001は事業所単位、部門単位、事業単位の取得も可
3. この大幅な体系変更を現在のプライバシーマークしか知らない審査員が、
短い時間で理解をして審査ができるのか。(いまの時間、今の金額で審査ができるのか)
現在プライバシーマークをお持ちのお客様、
そしてこれから取得をお考えの企業様、
少し立ち止まって、よーく新しい規格と以前の規格を比較して、
新しい規格にするとして「プライバシーマーク」がよいのか
「ISO27001」がよいのか
是非お気軽にご相談ください。