前回の続きです。
前回は、JIPDECが審査を行っていることに関する問題点を挙げました。
今回は、『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』が審査基準であること。について取り上げていきます。
ところで、『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』を読んだことがある人は、Pマーク取得企業に所属していてもそんなに多くいないと思います。
面白い読み物でもありませんが、ここに書かれている内容を満たさなければ、Pマークの取得はできないことになります。読みたい人は、こちらから閲覧することができます。
http://www.jisc.go.jp/app/JPS/JPSO0020.html
のサイトに行き、『JIS規格番号からJISを検索』のところで『JIS Q 15001』を検索してください。閲覧だけすることができます。
さて、本題に戻ります。
繰り返しになりますが、今回は、『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』が審査基準であること。についてです。
審査基準ということは、審査基準を満たせば、通常は、認定をもらえることになるので、
『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』だけ守ればいいのか!
と思うと思います。
答えは『否』です。
『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』に書かれている内容だけ完璧に守ったとしても、残念ながら認定をもらえることはできません。
『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』だけではなく、
『「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」』への適合が求められます。
つまり、説明としては「JIS規格に適合していれば認定する」と言っておきながら、「こっちの内容にも適合してなければ認定しない」と後出しじゃんけんをしてきているのです。
もちろん『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』の中には、『「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」』への適合が記載されているような事項はありません。
規格にも書いていないにもかかわらず、『「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」』への適合を強制してきているのです。
どのような規格書の書き方だったらよかったのでしょうか?
国際規格のISO/IEC27001が答えになっています。
ISO/IEC27001の場合、規格書の構成として、
・規格内容
・附属書A
・附属書B
・附属書C
・附属書D
となってます。
また、「規格内容」の中には、「附属書A」の内容に対して対応するよう規定が書かれています。
Pマークも同じ構成を採用していれば、問題はなかったのですが、規格に乗っていないことを要求されるのは、規格として成り立っていないと言わざるを得ません。
まとめ
JIS Q 15001は構成をやり直せ!
0 件のコメント:
コメントを投稿