43 / 46
《留意事項》
審査項目3.は,常に a)~g)の事項すべてを見直しの材料にする必要はない。a)~g)の事項が発生しないことを把握することもインプット といえる。
審査項目4.は,A.3.7.3 のマネジメントレビューの結果に対しトップマネジメントが判断を行っていることを確認するための審査項目であ る。
44 / 46
・是正処置の記録(A.3.5.3 k)) ・内部規程の改廃履歴
など
《留意事項》
審査項目2.の「不適合が明らかになった場合」とは,例えば,パフォーマンス評価(A.3.7)のほか,個人情報に関わる事故や苦情の発生よ って不適合が発見される場合がある。
審査項目3.は,A.3.8 の「b)不適合の原因を特定し,是正処置を立案する。」を実施するにあたり,同様な不適合が再発しないように検 討していることを確認するための審査項目である。
審査項目4.では,トップマネジメントに対し,これまでの個人情報保護マネジメントシステムの変更の状況や,今後も個人情報保護マネ ジメントシステムの見直しを行うことについて確認を行う。また,内部規程や各種記録等の文書化した情報(A.3.5.1)の改廃履歴についても 確認を行う。
45 / 46
改訂履歴
日付 ペー
ジ
項番 位置 改訂内容
平成 30 年 1 月 12 日 ― ― ― 作成 平成 30 年 3 月 16 日 17 A.3.4.2.6 審査項目
No.3
「JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項」の正誤票(平成 30 年 3 月 15 日)に伴う変更
(変更前)本人の同意を得ることを要しないのは,A.3.4.2.4 の a)~d)のいずれかに 該当する場合に限定していること。
(変更後)本人の同意を得ることを要しないのは,A.3.4.2.3 の a)~d)のいずれかに 該当する場合に限定していること。
平成 30 年 7 月17日 13 A.3.4.2.3 審査項目 No.2
要配慮情報の取得,利用及び提供の適用除外の要件を法律と整合させるための変更
(変更前)
要配慮個人情報を取得,利用又は提供並びに要配慮個人情報のデータを提供する際,書 面による本人の同意を得ることを要しないときは,以下の場合に限定していること。
a) 法令に基づく場合 (略)
(変更後)
要配慮個人情報を取得,利用する際,書面による本人の同意を得ることを要しないとき は,以下の場合に限定していること。(この後に a)~e)項を記載)
a) 法令に基づく場合 (略)
平成 30 年 7 月 17 日 14 A.3.4.2.3 審査項目 No.3
要配慮情報の取得,利用及び提供の適用除外の要件を法律と整合させるための変更
(変更前)
(記載なし)
(変更後)
要配慮個人情報を提供する際,書面による本人の同意を得ることを要しないときは,
A.3.4.2.3 のただし書き a)~d)の場合に限定していること。
平成 30 年 7 月 17 日 14 A.3.4.2.3 留意事項 審査項目3.の追記と整合させるための変更
(変更前)
● 審査項目2.は,「個人情報の特定に関する記録(A.3.5.3 a))」としての台帳 (A.3.3.1)により,台帳に記載されているが書面による本人の同意の取得が行われ ていない要配慮個人情報の有無を確認する。確認の結果,本人の同意の取得を行っ ていない場合は,本人の同意を得ずに取得した要配慮個人情報が A.3.4.2.3 のただ し書きに該当することを確認する。
(変更後)
● 審査項目2.及び審査項目3.は,「個人情報の特定に関する記録(A.3.5.3 a))」
としての台帳(A.3.3.1)により,台帳に記載されているが書面による本人の同意の