JIS Q27001とJIS Q15001を改正、プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針も改訂へ 経産省・JIPDEC
掲載:2023年10月13日
サイバー速報
目次
経済産業省は9月、JIS Q27001とJIS Q15001を改正したと発表しました。これに伴い、プライバシーマーク制度を運用する日本情報経済社会推進協会(JIPDEC)は「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」を近く改訂すると発表しました。
JIS Q27001はISO27001の国内の対応規格であり、今回の改正はISO27001が2022年10月に改訂されたことを受けたものです。
改正後の正式な名称は「JIS Q 27001:2023情報セキュリティ、サイバーセキュリティ及びプライバシー保護-情報セキュリティマネジメントシステム-要求事項」です。附属書A に記載されている情報セキュリティ管理策(情報セキュリティに係る対策)が新たな脅威や技術動向などを踏まえて改定されました。具体的には、管理策の数が114から93に変更され、管理策の分類についても14分類から4分類(組織的管理策▽人的管理策▽物理的管理策▽技術的管理策)に再整理されました。
管理策は統合や表現の変更によって数は減った一方、11の項目が新たに追加されました。具体的には次の通りです。
| 5.7 | 脅威インテリジェンス |
| 5.23 | クラウドサービスの利用における情報セキュリティ |
| 5.30 | 事業継続のためのICTの備え |
| 7.4 | 物理的セキュリティの監視 |
| 8.9 | 構成管理 |
| 8.10 | 情報の削除 |
| 8.11 | データマスキング |
| 8.12 | データ漏えい防止 |
| 8.16 | 監視活動 |
| 8.23 | ウェブフィルタリング |
| 8.28 | セキュリティに配慮したコーディング |
また、ISO/IEC専門業務用指針第1部附属書SLの2021 年の改訂内容が反映されました。付属書SLには、ISOマネジメントシステム規格に共通する構造(箇条タイトル、中核となるテキスト、用語および定義)について示されています。
一方、JIS Q15001は個人情報保護法の改正を踏まえたもので、6年ぶりに改正されました。
おすすめ記事
- ISO/IEC27001:2022 ~旧版との違いと企業に求められる対応~
- クラウドサービスに特化したセキュリティ基準 ~各ガイドラインや認証制度の比較~
- ISO27001と情報セキュリティマネジメントシステム(ISMS)
- ブルートフォースアタック
- ランサムウェア被害件数は高止まり、2023年上半期の「サイバー空間をめぐる脅威の情勢等について」を公表 警察庁
- 攻撃対象領域管理(ASM、Attack Surface Management)の導入ガイダンスを公表 経産省
- 書籍『個人情報保護マネジメントシステム導入・実践ガイドブック(JIS Q 15001:2017)第2版—PマークにおけるPMS構築・運用指針対応—』を発行 JSA
- 【速報】来年4月1日運用開始に向けて、指針および審査基準の新旧対照表を公表 JIPDEC
