ご承知の通り、2022年の個人情報保護法改正にともない、
昨年末にJISQ15001も、:2017版から2023版に改定されたました。

2024年10月から本格的に新JISでの運用が開始されますが
すでにJISを運用されている事業者に大きな影響がない改定なので
読み飛ばしていただいても結構です。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
１　規格構造の変化

旧JISQ（JISQ 15001:2017）では附属書Aの参照だけで運用できました。
新JISQでは、「附属書A」には個人情報取得時の同意や保有個人データの開示等、個人情報保護に関する管理策だけに限定され、組織のマネジメントシステム規定は本文に移動しました。これにより新JISでは今後、「附属書A」と「本文」の組織のマネジメントシステムに関する規定の両方を参照する必要があります。
文章の並びが整理されただけなので、従来と同じ運用でOKです。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
２．安全管理の対象が原則「個人データ」に
現行JISQでは、データベース化されていない（インデックスをつけて管理をしていない）「個人情報」レベルであっても委託先管理等の安全管理対策を講じる必要があり、法律以上に厳しい管理を要求されていました。
新JISQでは、データベース化していない「個人情報」は個人情報保護法を遵守すればよい、として個人情報保護法と同等の管理に緩和されました。
従来と同じ運用でOKです。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
３．開示等の対象が原則「保有個人データ」に
現行JISQでは、開示等請求の対象となる「保有個人データ」について、データベース化していない（インデックスをつけて管理をしていない）「個人情報」レベルでも開示等の請求に応じる必要がありました。
新JISQでは、「個人情報保護リスクアセスメントの結果を考慮」して判断するとして、事業者は必ずしも「個人情報」に対して開示等の請求に応じなくてもよくなり、個人情報保護法の上乗せルールが緩和されました。従来と同じ運用でOKです。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
４．クラウドサービスの位置づけを変更
現行JISQでは、クラウドサービスは「保管の委託」として、クラウドサービス事業者に対する「委託先の管理監督」が必要とされ、さらには、外国にある第三者のクラウドサービスを利用する際には「外国にある第三者への個人情報取扱いの委託に関する同意取得」（加えて当該外国の個人情報保護制度の周知など）が必要でした。
新JISQでは、個人情報保護法と同様に、クラウドサービス提供事業者が個人データを取り扱わない場合は、クラウドサービスの利用は個人データの「提供」や「委託」には該当せずに組織に委託先の監督義務は課されないこと、「委託」ではないので外国にあるクラウドサービス提供事業者を利用する際の本人同意等も不要であることが明記されました。　注意点は、クラウドサービスの利用についても、「情報セキュリティ対策は万全か？」「信頼できるクラウドサービス提供事業者か？」を確認する等、適切な安全管理措置を講じる必要はあります。
クラウド利用規程の見直しを図ってください。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
５　オプトアウト手続きの上乗せがなくなった
現行JISQでは「組織は，個人データを第三者に提供する場合には，あらかじめ，本人に対して，内容の事項，取得方法を通知し，本人の同意を得なければならない」が、オプトアウト手続に「本人の同意を得ることが困難な場合」という要件が法令に上乗せされ、オプトアウト手続による第三者提供は利用しづらい制度になっていました。
新JISQでは、オプトアウト手続による第三者提供の上乗せ要件が無くなり個人情報保護法と同じ水準で可能になりました。オプトアウト規程の訂正が必要です。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
６．共同利用の上乗せ要件の一部がなくなった
現行JISQは個人情報保護法と比較して、「共同利用について契約によって定めること」と「共同利用者の本人への連絡に際しては、共同して利用する他のいずれかの者が，既にA.3.4.2.5のa)からf) に示す事項又はそれと同等以上の内容の事項を明示又は通知し，本人の同意を得ていること」を上乗せ条件としていました。
新JISQでは、A.8(本人に連絡又は接触する場合の措置)、A.14（第三者提供の制限）いずれの場面においても、「特定の者との間で，適法かつ公正な手段によって，共同して利用されている場合であって，共同して利用するものとの間で共同利用について契約によって定めているとき」は、本人同意を得ることを要しないとしています。つまり「契約によって定める」という上乗せ条件だけは残りましたが、新JISは個人情報保護法水準に近づいたことになります。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
７．個人情報保護方針　２つが１つになった
現行JISQでは、「（内部向け）個人情報保護方針」と「（外部向け）個人情報保護方針」を分けて規定し、「（外部向け）個人情報保護方針」にのみ、制定年月日及び最終改正年月日、内容についての問い合わせ先の記載を要求していました。
新JISQでは、5.2.1(個人情報保護方針)、5.2.2（個人情報保護方針の記載事項）で個人情報保護方針について規定していますが、「内部向け」と「外部向け」の区別を廃しました。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
８．匿名加工情報、仮名加工情報、個人関連情報の特定手順
現行JISQで規定されていなかった匿名加工情報、仮名加工情報、個人関連情報は法令を参照して対応が求められました。
新JISQでは、6.1（個人情報の特定）において、個人情報のほかに、仮名加工情報、匿名加工情報、個人関連情報の特定手順を確立し、維持すること」が明記されました。

以上、新JISQの主たる改訂ポイント８つでした。
詳しくはJISの解説書等をご覧ください。