JIS Q27001とJIS Q15001を改正、プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針も改訂へ 経産省・JIPDEC
経済産業省は9月、JIS Q27001とJIS Q15001を改正したと発表しました。これに伴い、プライバシーマーク制度を運用する日本情報経済社会推進協会(JIPDEC)は「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」を近く改訂すると発表しました。
JIS Q27001はISO27001の国内の対応規格であり、今回の改正はISO27001が2022年10月に改訂されたことを受けたものです。
改正後の正式な名称は「JIS Q 27001:2023情報セキュリティ、サイバーセキュリティ及びプライバシー保護-情報セキュリティマネジメントシステム-要求事項」です。附属書A に記載されている情報セキュリティ管理策(情報セキュリティに係る対策)が新たな脅威や技術動向などを踏まえて改定されました。具体的には、管理策の数が114から93に変更され、管理策の分類についても14分類から4分類(組織的管理策▽人的管理策▽物理的管理策▽技術的管理策)に再整理されました。
管理策は統合や表現の変更によって数は減った一方、11の項目が新たに追加されました。具体的には次の通りです。
5.7 | 脅威インテリジェンス |
5.23 | クラウドサービスの利用における情報セキュリティ |
5.30 | 事業継続のためのICTの備え |
7.4 | 物理的セキュリティの監視 |
8.9 | 構成管理 |
8.10 | 情報の削除 |
8.11 | データマスキング |
8.12 | データ漏えい防止 |
8.16 | 監視活動 |
8.23 | ウェブフィルタリング |
8.28 | セキュリティに配慮したコーディング |
また、ISO/IEC専門業務用指針第1部附属書SLの2021 年の改訂内容が反映されました。付属書SLには、ISOマネジメントシステム規格に共通する構造(箇条タイトル、中核となるテキスト、用語および定義)について示されています。
一方、JIS Q15001は個人情報保護法の改正を踏まえたもので、6年ぶりに改正されました。