「JISQ15001」の改正は突っ込みどころ満載!今後のPマーク取得はどうなる?

[更新]

この記事は約 6 分で読めます。



2017年12月20日、プライバシーマーク等のベースになる「JIS Q 15001」が改訂されました。これに基づき、審査も様変わりすると思われます。今回はこの改正内容について触れて行きたいと思います。

〈参照〉
日本工業標準調査会(JISC)
JIS改正に伴うプライバシーマーク審査基準の改正について/JIPDEC

「JIS Q 15001」改正の方向性

…と、始めたものの。少し眩暈がしてます。どこから突っ込んでいいのやら…

大きな方向性として、章立てがISOマネジメント規格で使用している「HLS(High Level Structure)」に合わせることになりました。ISO27001やISO9001と同じ形です。これにより、他の規格や内部統制などに規定を統一しやすくなることを目指しています。その為、本文はそこまで酷くはありません。

問題が大きいのは、附属書A、Cの管理策と安全管理措置です。これらに関しては、しっかり内容を理解し、議論してきたのか”疑わしい”項目がかなりあります。詳しく見ていきましょう。

「個人情報」だけしか見ていない?

まず、指摘したいのが『A.3.3.4資源、役割、責任及び権限』について。ここでは、「”少なくとも決めるべき”責任者」が書かれています。

個人情報保護管理者
個人情報保護監査責任者

の2つ。これはもちろん必要ですね。しかし、それだけで良いのでしょうか。「特定個人情報(マイナンバー)管理責任者」と「特定個人情報取扱責任者」も決めるべきでは?

ISOであれば、この2つで良いかも知れません。マイナンバー制度は日本固有の法律ですからね。でも、これは「JIS」です。日本国内の基準です。個人情報でもある特定個人情報の管理に必要な、ガイドラインで定められている責任者は“少なくとも”決めるべきでしょう。あれほど大騒ぎしたマイナンバーは、忘れられてしまったのでしょうか。

「文書化」としているのは日本だけ

次に『A3.3.5内部規程』では、「次の事項を含む内部規程を文書化し、かつ維持しなければならない」とあり、a)~o)まで15個の規定が記されています。〇〇規定というものを15個も”文書化”して維持しなきゃいけないなんて、正直めんどくさい。これだけで取り組むのがイヤになります。

ここで『本文3用語及び定義』に戻ってみましょう。「文書」とはどういう定義が為されているのでしょうか。

なぜ「文書化」と表現されたのか

実は用語に「文書」という言葉は無いのです。あるのは「文書化した情報」という言葉。

これはISOの翻訳の問題です。ISOでは元々、文書を意味する「papers」を使っていません。文書以外も含む「document」を使用しており、さらに、documentの中の情報こそが重要だということで「documented information」を使っています。文書に限らず、データでも映像でも音声でも動画でも、第三者に伝わるようになっていればそれで良いんです。

それを日本語訳した際に「文書化した情報」となり、誤解され、さらにJIS Q 15001の管理策では「情報」まで無くなって「文書化」となってしまったのです。

本文との整合性が取れていない

そもそも本文の「7.5.3文書化した情報の管理」を見てみれば、

c) 配布、アクセス、検索及び利用
d) 読みやすさが保たれることを含む、保管及び保存
e) 変更の管理(例えば、版の管理)

等とあります。それなのに、15もの規程を文書で作って管理しろというのは、本文との整合性がないでしょう。これでは現場で”規程を守ろう”という意識が薄れてしまいます。仕組みとして本末転倒です。

ISO27001付属書Aの語句を置換しているだけ

次に『A3.4.3.2安全管理措置』です。”どうやって個人情報を守るか”という話ですね。
ここは『付属書C』を参照となっています。その付属書Cを見てみると、最初のページから、

“個人情報セキュリティ”とは、個人情報に係る情報セキュリティを意味し、
“個人情報処理施設”とは、個人情報に係る情報処理施設を意味し、
“個人情報分類体系”とは、個人情報に係る情報分類体系を意味し、

…と、同じような用語定義が13回続きます。この定義は必要なのでしょうか。

そして内容については、ISO27001の付属書Aをほぼそのまま踏襲しています。…が、意味をよく理解していないまま踏襲しているようです。とにかく、「情報」を「個人情報」に”変えているだけ”です。

意味を理解していないまま踏襲している

極めつけが『C14.1.3アプリケーションサービスのトランザクションの保護』の部分です。

アプリケーションサービスのトランザクションに含まれる個人情報は、次の事項を未然に防止するために、保護することが望ましい。

ということなのですが、個人情報を保護することで防止されるのが、

不完全な通信
誤った通信経路設定

…そんなもんに個人情報使うか!!!

トランザクション保護の意味とは

例えば、オンラインショップで何か買おうとしたときに、通信障害が起きたとします。すると、パソコン側ではボタン押したけど、ショップのサーバ側ではボタンを押された情報が入ってこない状態になる可能性があります。これでは困るので、PC側とサーバ側では取引成立したのか否かを一致させ続けなければなりません。この一致させる処理を「トランザクション」と言います。

トランザクション情報全体の中に、個人情報が含まれることはあるかも知れません。ですが、不完全な通信を防ぐためや経路設定に、個人情報を使うなんてことは、まず有り得ません。トランザクションの保護の意味を理解せず、単純に「情報」を「個人情報」に置換しただけにしか思えません。

このような状態なのであれば、無理にISO27001の管理策を使わず、マイナンバーガイドラインの安全管理措置を目安にした方が良いように思われます。

プライバシーマークの審査はどうなる?

A3.4の段階でコレです。「匿名加工情報」や「外国にある第三者への提供」など、個人情報保護法改正のポイントになるようなところを飛ばしてもコレです。読めば読むほど”これをJISとして出すのか…”感でいっぱいです。

もう、改正は早急に検討してもらわなければなりませんが、JISとして正式に発表してしまった以上、簡単ではないでしょう。

問題は、プライバシーマーク等の審査です。これを絶対の基準で審査されてしまうと、今まで以上に”ガチガチ”の要求になりかねません。一応、0.1概要もISO27001の真似をしており、「組織のニーズに合わせた規模で行うことが期待される」の一文があるので、審査員がある程度ハンドリングできる理由にはなりそうなのですが。

JIPDECの審査基準の発表は1月中旬予定となっています。ここでどんな判断が為されるか。発表が待たれるところです。

〈参照〉
日本工業標準調査会(JISC)
JIS改正に伴うプライバシーマーク審査基準の改正について/JIPDEC

情報セキュリティ監査パック
専属担当者の採用は難しいけど、セキュリティが心配... そんな小規模企業向けに専門家が助言型監査いたします!

星野靖裕

金融機関にて、融資管理・情報システム開発に従事。経営・現場双方の視点を備え、効果的なマネジメントシステムの構築を指導。人員一桁から数千人の一部上場企業まで幅広くコンサルティングを行う。
  
>プロフィール詳細はこちら

こちらのページもご覧ください。

0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策
ハンドブックプレゼント

img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラ
作者:   法令・計画等