TFKトピックス9月号をお届けします！

～10月から審査基準が変わります。～

9月に入っても猛暑が続いていますが、皆様お体の調子はいかがですか？
TFKの中村です。

この時期田んぼのあぜ道などでよく見かけるのが彼岸花です。
彼岸花は秋の彼岸の頃、突然に花茎を伸ばして鮮やかな紅色の花が開花する事に由来していますが、これを食べると「彼岸（死）」に至るという説もあるようです。
その球根はアルカロイド系の毒を持っており、モグラやネズミの小動物や虫などから稲や野菜といった作物を守るための予防策として植えられたと言われています。

まさに先人の知恵には頭が下がります。

さて、昨年末にPMSの新構築・運用指針が公開され、今年10月以降申請される場合は新基準に沿った内容でご準備いただく必要があります。

改定内容や申請書類の準備などでご不明な点などございましたら、どうぞお気軽にご連絡ください。

SPECIAL TOPIC

PMS新構築・運用指針について☞ポイント解説
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

2023年9月に、日本産業規格「JIS Q 15001：2017（個人情報保護マネジメントシステム－要求事項）」が「JIS Q 15001：2023（個人情報保護マネジメントシステム－要求事項）」として改正されました。
2023年12月には、「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針【JIS Q 15001：2023準拠 ver1.0】」（以下、「新構築・運用指針」）が公開されており、2024年10月1日以降に申請する事業者に適用されます。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

☞2024年10月1日以降にご申請される場合

では、新構築・運用指針改定のポイントを見てみましょう！

☞主な変更点

①J.3.1.1 個人情報の特定

●JIS Q 15001;2023では、匿名加工情報、仮名加工情報、個人関連情報を特定の対象とすることが“望ましい”という方針でしたが、《留意事項》の中で、“自らの事業の用に供している仮名加工情報、匿名加工情報、及び個人関連情報（当該個人関連情報が提供先の第三者において 個人情報になることが想定される場合）においても、当該要求事項に基づいて実施すること”とあり、対応必須の扱いとなりました。
●個人情報管理台帳に記載する項目では、“管理する個人情報の件数（概数でも可）”が追加されました。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

②J.3.1.4　個人情報保護リスク対応

これまでは、残留リスクの管理に関して、残留リスクを特定し、可能な範囲で適切に対応することが求められていたのに対し、 “モニタリングし、レビューし、対応可能となった場合に追加的対応の対象とすること”という記載が追加されました。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

③J.3.4　変更の計画策定

個人情報保護マネジメントシステムの変更の必要性に関する決定をした際、具体的に、法令・ガイドライン、JIS規格、審査基準などの改正動向を把握し、どのタイミングでPMSの変更をおこなうのか議論し、次年度の活動計画に反映させることが求められています。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

④J.6.2　内部監査

《留意事項》において、“監査範囲は、自らの事業の用に供する個人情報を取扱う全ての業務、従業者、情報システム等を含めることが重要となる”と記載されています。特に、情報システムの開発、運用、保守に関わる対応が適切に実施されているかを監査の中で確認することが求められるようになると考えられます。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

⑤J.8.3　要配慮個人情報などの取得

これまで、ＥＵ及び英国域内から十分性認定に基づき提供を受けた個人情報に、「性生活」「性的指向」「労働組合」に関する情報が含まれる場合は、要配慮個人情報と同等に取り扱うというルールでしたが、日本国内においても同様な扱いとなります。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

●個人情報の共同利用の要件について、これまでは、“手続等をあらかじめ取り決めておくことが望ましい”という記載でしたが、共同利用者間の契約（覚書、確認書でも可）が義務化されました。“共同して利用する者との間で共同利用について契約によって定めているとき”が追加されています。
●一方で、左記共同利用について、契約によって定めているときは、本人同意を得ることを要しない(一定事項をあらかじめ本人に通知し又は本人が容易に知りうる状態に置くことで可)としています。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

⑦J.8.8 ｢オプトアウト手続｣による第三者提供

いわゆる「オプトアウト手続」については、個人情報保護委員会への届け出に加え、本人通知に関して、｢あらかじめ、本人に通知し、又はそれに代わる同等の措置を講じているとき｣としていたものを、｢あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置く｣とし、オプトアウト手続による第三者提供の上乗せ要件が一部緩和されました。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

⑧J.8.9　匿名加工情報

※「加工方法等情報」とは…個人情報データベースから匿名加工情報を作成する際に派生的に発生する情報のこと

加工方法等情報のうち、“氏名等を仮IDに置き換えた場合における氏名と仮IDの対応表 ”、“氏名等の仮IDへの置き換えに用いた乱数等のパラメータなど”は匿名加工情報作成後に削除することが求められています。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

⑨J.8.10　仮名加工情報

今回、 “取扱いを行うか否かの方針を定めること”という文言が冒頭に挿入されました。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

⑩J.9.2 安全管理措（外部サービスの選定）

今回、“外部サービスを利用する際、当該サービス提供事業者が当該個人データを取り扱わないことになっているサービスを利用する場合は、適切な安全管理措置が図られるよう、あらかじめサービス内容の把握、評価等を行ったうえで選定すること”という内容が追加されています。

これまでの審査においては、クラウドサービス等の【個人情報が関係する外部サービス】に対して、「個人情報の委託先」として管理することを要求してきましたが、今後は、該当サービスの特性を考慮したセキュリティレベルの把握、評価をおこなう運用が求められます。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

弊社では、PMS運用に関するご相談を承っております。御社に合った運用方法をご提案させていただきますので、お気軽にご相談ください。

セキュリティクイズ
～不正ログインについて～

不正な手段で他人のアカウントにアクセスすることを【不正ログイン】といいますが、2023年に警察庁に報告がなされた不正アクセス行為の認知件数はなんと…6312件。
2022年の2200件から4112件に増加し、過去5年で最大数となりましたが、実際にどのような行為があったのか…皆さん想像はつきますか？

今回も穴埋め問題にしましたので、ぜひチャレンジしてみてください！

以下、行為別の内訳です。

・「　　　」での不正送金等（5598件）
・メールの「　　　」等の情報の不正入手（204件)
・インターネットショッピングでの「　　　」（93件）
・オンラインゲーム・コミュニティサイトの「　　　」（83件）

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

クイズの回答は…　

上から順に

・インターネットバンキング
・盗み見
・不正購入
・不正操作

いかがでしたか？

不正ログイン。身の回りでも、それだけでなく自分の身にも、起きないとは言えない事案ではないでしょうか。皆様も上記のような被害を受けないよう、今一度注意をしてください！

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

以上、TFKトピックス9月号でした♪次回もお楽しみに！