JISQ15001:2017の付属書を読むの第1回配信(全9回)

JISQ15001の付属書の解説をするシーズンスリーとして、付属書を対象としたビデを配信をしています。2020年4月12日現在、最初の9本を公開します。

○JISQ15001・付属書・解説001
第1回は、付属書の位置づけとツールとしてのチェックリストの説明、及び最初の項番「A.3.1.1 一般」についてお話ししています。

○JISQ15001・付属書・解説002
第2回は「A.3.2 個人情報保護方針」です。
旧規格では内部向け、外部向けという切り分けはなかったようですが今回から分けられています。ただし、内部向け、外部向けに別々に作れといっているわけではないので自然な対応で十分です。

○JISQ15001・付属書・解説003
第3回は「A.3.3 計画」です。
A3.3計画は7つの細項目で構成されています。
そのうちの「A.3.3.1 個人情報の特定」が最初のコンテンツです。
この計画では、「業務プロセスの整理」と「リスクの整理」が幾度となく出てきます。
管理策の主要テーマになります。

○JISQ15001・付属書・解説004
第4回は「A.3.3 計画(2)」です。
対応する項番は「A.3.3.2 法令,国が定める指針その他の規範」です。
「何を対象としたか」ではなく「どうやって決めたのか」が論点になるので注意してください。

○JISQ15001・付属書・解説005
第5回は「A.3.3 計画(3)」です。
対応する項番は「A.3.3.3 リスクアセスメント及びリスク対策」です。
個人情報保護マネジメントの中核となる活動です。
ここをおろそかにしているとマネジメントシステムの欠落を招くので最も重要な取り組みになります。全部を説明しきれませんがなるべくわかりやすく話をします。

○JISQ15001・付属書・解説006
第6回は「A.3.3 計画(4)」です。
対応する項番は「A.3.3.4 資源,役割,責任及び権限」です。
単に付属書の記載だけでなく規格本文とも対比して考える必要があります。
取り上げているのは「個人情報保護管理者」と「個人情報保護監査責任者」だけですが組織全体のことを配慮する必要があります。

○JISQ15001・付属書・解説007
第7回は「A.3.3 計画(5)」です。
対応する項番は「A.3.3.5 内部規程」です。
PMSで必要となる内部規定の種類が提示されます。
この名前の規定を作れといっているわけではないですが初めての時にはまずはこの名前で規定を作ることを進めます。
規定と名何か、規定に書くべき事項をどのように考えるかの指針を示しています。

○JISQ15001・付属書・解説008
第8回は「A.3.3 計画(6)」です。
対応する項番は「A.3.3.6 計画策定」です。
項番には教育計画と監査計画しか取り上げられていませんが、緊急時対応の(避難訓練のような)訓練計画や、その他関連した活動(例えばマネジメントレビューなど)もある程度年度計画を立てられるものがあります。規格要求事項の意図をくみ上げて考える必要があります。

○JISQ15001・付属書・解説009
第9回は「A.3.3 計画(7)」です。
対応する項番は「A.3.3.7 緊急事態への準備」です。
A3.3の最終項番になります。
緊急事態とは何かと云うことについては規格本文に定義がありますが、少しわかりにくいかも知れません。単純に「事件・事故」ととらえ、用意をどうして行くのか、ことが起きたらどうするのかを整理するという程度に捉えても良いでしょう。非常時だけでなく日常どのように気をつけているか、またリスクとどう関連付けるかなど考える範囲は広いです。

Be the first to comment

Leave a Reply