JIS Q 15001

JIS Q 15001個人情報保護マネジメントシステム ― 要求事項)は、事業者が業務上取り扱う個人情報を安全で適切に管理するための標準となるべく、財団法人日本規格協会の原案によって策定された日本工業規格の一つ。この規格では、事業者が保有する個人情報を把握し、取得や利用に先立ち個人情報の指す本人から同意を得ること、事業者が個人情報保護のための組織を設けること、その体制を定期的に見直し改善すること、そしてこれらを実践するためのシステム(個人情報保護マネジメントシステム)をもつことなどを求めている。1999年に海外での先例にならって作られた管理システムであり、個人情報保護に関する同様の理念は2005年から全面施行された個人情報の保護に関する法律(以下、「個人情報保護法」)でも見ることができる。

JIS Q 15001の要求事項を読み解く上では、要求事項ごとに、個人情報保護法と同じ概念か、個人情報保護法に上乗せした概念か、個人情報保護法には全く記載のない概念かを区別しながら眺めることが重要である。

目次

個人情報保護マネジメントシステム編集

事業者が個人情報保護を実践するためにもつ管理システムを JIS Q 15001:2006 では個人情報保護マネジメントシステム(PMS, Personal information protection management systems)と呼び[1]、計画(4.3章)、実施および運用(4.4章)、点検(4.7章)、事業者の代表者による見直し(4.9章)を含み、いわゆるPDCAサイクルを回すことで個人情報保護レベルを継続的に改善していくものと解釈できる[2]

PDCAサイクルはJIS Q 15001:2006が策定された当時すでにあったマネジメントシステムであるISO 9001(品質管理システム)、ISO 14001(環境管理システム)、ISO/IEC 27001情報セキュリティマネジメントシステム)などでも採用されていた。ただし2016年現在のISOの管理システムにはPDCA以外にも様々なモデルが採用されており、ISO/IEC 27001ではこれを理由の一つとして2013年版ではPDCAに関する記述は削除されている(詳細は当該項目)。

要求事項編集

個人情報編集

JIS Q 15001:2006では個人情報を以下のように定義している:

個人に関する情報であって,当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ,それによって特定の個人を識別することができることとなるものを含む。)
--JIS Q 15001:2006 3.1章

カッコ内に記載されているように、たとえ一見して個人を識別できなくとも他の情報と合わせれば個人の識別が可能になるものも個人情報であると定めている。

個人情報保護法との関係編集

上述の定義の文面はカッコ内も含め、個人情報保護法における個人情報の定義の文面(第2条1項)とほぼ同一だが、個人情報保護法では個人情報を生存する個人に関する情報に制限しているのに対し、JIS Q 15001:2006にはその制限がなく、死者のデータも個人情報に含まれる[3]

また個人情報保護法では、「個人情報」の他に「個人データ」「保有個人データ」を区別し、個人情報取扱い事業者に課せられる義務を調整しているが、JIS Q 15001 では特にそのような区別はしていない。そのかわりに、特定の機微な個人情報とそれ以外、のように個人情報のレベルによる管理の違いを許容している。

具体例編集

一般の企業が関与し利用する個人情報は、顧客(消費者)の情報が多くを占める場合も見られるが、顧客ばかりでなく従業員の個人情報も JIS Q 15001 での保護の対象とする個人情報に含まれる。また文書・書面とは一般的には紙面上の媒体であると思われがちであるが、電子上の文書や人が直接理解できない電子データも含めて文書・書面とされる。

一般的な企業が取り扱う個人情報の例としては以下のようなものがあげられる。

  • 一般個人顧客(消費者)の個人情報
    • 商品の販売、問合せ、懸賞プレゼントなどで入手する情報
  • 企業自身が雇用する従業員の個人情報(インハウス個人情報などと通称される)
  • 求人に応募した人(学生など)の情報(採用されると従業員情報の一部となる)
  • 取引先・協業先企業や団体から、連絡などのために提示を受ける個人情報、業務の担当者などの情報(名刺がその典型例)
  • 取扱いを受託した個人情報(情報処理、ASPなど)
  • 株主の個人情報(株主名簿

個人情報保護方針編集

JIS Q 15001 は、事業者が個人情報の取得や利用を適切に行っていること、個人情報を安全に管理していることなど、個人情報保護に関する取組みについて文書化し、内外に示すべきであると要求している。この指針を「個人情報保護方針」と呼んでおり、一般企業でもWebページ上などで公開するケースがほとんどである。個人情報保護方針を策定するのは事業者の代表者であるとしている。

個人情報の特定とリスク分析編集

事業者は、まず自らが事業の用に供しているあらゆる個人情報を特定する。そしてこれを台帳管理することになる。台帳は、定期的または随時に更新することになる。(ただし、すべての個人情報を台帳に記載する必要はない。ボーダーラインを決めて、台帳記載未満をルール化することは許容される。)

次に、特定した個人情報に対してリスク分析を行う。リスク分析については、個人情報の取扱いの局面ごと(取得、利用、保管、移送、委託、提供、廃棄ごと)にリスクを認識する。そして、リスクへの対応を立案する。リスクへの対応は、当然ながら当該組織としてルール化することになる。できあがったルールとなんらかの紐付け管理が必要である。

リスクに対応した結果でも、残存リスクが残る。これも記録管理が必要である。

内部規程編集

事業者は、個人情報保護マネジメントシステムを具体的にどのように運用するかを定めた規程をもち、それを文書化しなければならない。規程では、個人情報保護のための組織を設け、各部署および組織全体の責任者を置くことが明記される。

個人情報の取得や利用、提供、委託を適切に行うこと、本人から個人情報を開示または訂正・削除の要求があった場合に対応する手段をもつこと、個人情報保護に関する教育を実施すること、運用の確認や監査を行うこと、規程に対する違反があった場合には罰則が適用されることなどを規程に明記しなくてはならない。

個人情報の取得・利用編集

個人情報を取得するに際しては、利用目的を明確にすること、適法で公正な方法で取得を行うことを定め、取得に関して本人の同意を得ることを求めている。同意を得る際には、本人に対し事業者における個人情報保護の責任者を明示することや利用目的を告げること、個人情報の開示・訂正・削除の権利を告げる必要がある。直接書面取得以外(本人から書面以外で取得、第三者から間接的に取得)の場合は、利用目的を本人に通知するか、公表しなくてはならない。

取得した個人情報を利用する際、本人から同意を得た利用目的を超えてはならない。もし当初本人に告知した内容とは別の利用目的が生じた場合には、改めて本人の同意を得なくてはならない。この範囲を超えた場合は目的外利用と呼ばれる。ただし、人の生命・財産に関わる緊急事態や法令に定める事務の場合などは目的外利用とはならない。

個人情報の管理編集

個人情報を保有する事業者は、これを安全に管理し、紛失・破壊・改竄・漏洩など個人情報を損ない、本人に不利益を与えることのないよう処置を講じなくてはならない。

事業者は関与している個人情報の取扱いを、業務上、外部に委託する場合がありうる。その際にも個人情報を受け取る委託先が同様の管理を行えるか選定し、監督しなくてはならない。

PDCAサイクルの運用編集

JIS Q 15001 は、以上の内容を事業者における従業員に教育し、周知させることを求めている。

また、組織内に監査責任者を設け、定期的または必要に応じ、個人情報保護マネジメントシステムの運営体制が JIS Q 15001 に適合しているかどうかについて監査すべきであると定めている。監査だけでなく、運用の確認[4]などによって改善すべき点が発見されれば、事業者の代表者によって個人情報保護マネジメントシステムの見直しを行い、必要ならば改訂することを要求している。

プライバシーマーク制度との関係編集

JIS Q 15001 の要求を満たし、個人情報保護に関して適切な処置を行っていると判断される事業者には、財団法人日本情報経済社会推進協会(JIPDEC)によりプライバシーマークの使用が認可される。プライバシーマークはアルファベットのPをかたどったロゴであり、認可を受けた事業者は自社のウェブサイトや出版物などに利用して個人情報保護の安全な運用を対外的にアピールできる。地方公共団体などでは入札参加資格で「Pマーク(等)の認定を受けていること」と要請される場合もあるので、その資格要件ともなり得る。

JIS Q 15001 の要求事項それ自体は簡潔にまとめられているが、事業者において要求事項の各項目を実践するには、自社の事業や組織体制を考慮した個人情報保護マネジメントシステムを構築し、それを実践(実施運用)するための規程類(手順や帳票様式をも含む)を設け、体制を整備し、個人情報が関係するあらゆる業務場面で規格の要求する事項に対応した運用の実施が求められる。かつ、この活動がPDCAサイクルに沿って継続的に改善し続けるしくみとして確立していなければならない。

JIPDEC及びJIPDECによって指定された民間事業者団体(指定機関という)による審査で、 JIS Q 15001 およびJIPDECの定めたガイドライン等への対応が適切に実施されていると認定されると、所定の手続きを経てプライバシーマークの使用が可能になる。つまり、プライバシーマーク認定(すなわちPマークの使用)のためには、JIS Q 15001の要求事項に対応するだけでは不足であり、JIPDEC等の審査基準(概ねJIPDECのガイドラインとして公開されているが、細部では非公開部分もある)を基にした、担当の審査員による審査に合格することが必要である。

制定の経緯編集

1970年代から1980年代にかけ、コンピュータの技術向上により一般企業でも業務で大量の情報処理を行うことが可能になった。扱われる情報には当然個人情報も含まれ、個人情報が紛失・盗難・漏洩・改竄に遭う可能性も高くなった。1990年代にはインターネットの普及により、このような危険は一層高まり、個人情報が関係する事故も報じられるようになった。個人情報に関わる事故が発生した場合、個人情報の指し示す本人が多大な不利益を被るばかりか、事故を起こした事業者も訴訟や信頼の失墜などによって大きな損害を受ける事態となりうる。

情報処理技術と個人情報を取り巻く環境の変化を受け、OECD1980年に「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」を策定した。この勧告では、大きく8項目に分けて個人情報の保護に関する原則を謳っており、しばしばOECD 8原則と呼ばれている。OECD 8原則では、個人データを適法かつ公正に収集(取得)すること、取得に際しては必ず収集元である個人から同意を得ること、取得の目的を明確に告げること、取得元である個人が自らの情報を提供したのちもその情報にアクセスする権利をもつこと、取得した個人データを安全かつ適切に管理すること、個人データの管理責任者を明確にすることなどが掲げられている。

この原則が示す理念は、OECD加盟の欧米各国などで個人情報保護に関する管理システム策定に受け継がれた。日本でも、1984年に制定された電気通信事業法、1988年の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」などに反映されたほか、1999年JIS Q 15001 の策定、2003年の個人情報保護法制定へとつながった。

その後、個人情報保護法の全面施行から1年余りを経た2006年5月20日に、当時の実態を踏まえて、同法で導入された概念・用語を盛り込んだ改定が行われた[5]

脚注編集

  1. ^ JIS Q 15001:1999 まではコンプライアンス・プログラム(CP)と呼んでいた。
  2. ^ JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第2版- (pdf) p7 日本情報経済社会推進協会(JIPDEC)
  3. ^ JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第2版- (pdf) p28 日本情報経済社会推進協会(JIPDEC)
  4. ^ 2006年版のJIS Q 15001では、運用の確認と監査を併せて「点検」と定義している
  5. ^ 経済産業省. “個人情報保護JIS(新 JIS Q 15001)”. 2013年6月23日閲覧。

関連事項編集

外部リンク編集