個人情報保護法対策室 : プライバシーコンサルタントのコラム : 第13回日本工業規格（案） JIS Q 15001：2006 個人情報保護マネジメントシステム―要求事項

個人情報保護法対策室
トップページ

個人情報保護法とは

個人情報保護法の解説

個人情報保護の対策

・

第１３回

日本工業規格（案） JIS Q 15001：2006
個人情報保護マネジメントシステム―要求事項

2006/03/06
プライバシー・コンサルタント
渡部大也

現在、多くの企業が取得している（しようとしている）個人情報保護に関する第三者認証シールマークであるプライバシーマークは、認証基準が定められています。
その認証基準は国家規格（日本工業規格）のJIS Q15001です。このJIS Q15001の現行版は1999年に発行されたもので、正式名称はJIS Q15001：1999「個人情報保護に関するコンプライアンス・プログラムの要求事項」といわれるものです。プライバシーマーク取得のためには、このJIS Q15001を適切に遵守した個人情報保護体制を構築し、その体制を維持管理、改善し続けることが義務付けられます。
このJIS Q15001は本来の５年の改訂タームを越えて使われており、この度主管官庁である経済産業省からドラフト版が公表され、一般にコメントが求められました。
最終版はこれらのコメントを有識者によって検討した上で正式版としてリリースされる予定です。
リリース時期に関しては、ドラフト版がJIS Q15001：2006と明記されていたことから、2006年4月以降の発効と考えられます。（JISの年度は4月～3月です。）

気になる新規格のドラフト版の概要を見てみましょう。（正規版がこのままであるかどうかは不明です。）　
JIS Q15001：２００６（ドラフト版）の目次は以下のようになっています。

1 適用範囲

2 引用規格

3 用語及び定義

4 要求事項

4.1 一般要求事項

4.2 個人情報保護方針

4.3 計画

4.3.1 個人情報の特定

4.3.2 法令，国が定める指針及びその他の規範

4.3.3 リスクなどの認識・分析及び対策

4.3.4 資源，役割，責任及び権限

4.3.5 内部規程

4.3.6 計画書

4.3.7 緊急事態への準備

4.4 実施及び運用

4.4.1 運用管理

4.4.2 取得・利用及び提供に関する原則

4.4.2.1 利用目的の特定

4.4.2.2 適正な取得

4.4.2.3 特定の機微な個人情報の取得の制限

4.4.2.4 本人から直接書面によって取得する場合の措置

4.4.2.5 個人情報を4.4.2.4 以外の方法によって取得した場合の措置

4.4.2.6 利用に関する措置

4.4.2.7 本人にアクセスする場合の措置

4.4.2.8 提供に関する措置

4.4.3 適正管理

4.4.3.1 正確性の確保

4.4.3.2 安全管理措置

4.4.3.3 従業者の監督

4.4.3.4 委託先の監督

4.4.4 個人情報に関する本人の権利

4.4.4.1 個人情報に関する権利

4.4.4.2 開示などの求めに応じる手続

4.4.4.3 開示対象個人情報に関する周知など

4.4.4.4 開示対象個人情報の利用目的の通知

4.4.4.5 開示対象個人情報の開示

4.4.4.6 開示対象個人情報の訂正，追加又は削除

4.4.4.7 開示対象個人情報の利用又は提供の拒否権

4.4.5 教育

4.5 個人情報保護マネジメントシステム文書

4.5.1 文書の範囲

4.5.2 文書管理

4.5.3 記録の管理

4.6 苦情及び相談

4.7 点検

4.7.1 運用の確認

4.7.2 内部監査

4.8 是正処置及び予防処置

4.9 事業者の代表者による見直し

次に、３用語及び定義を見ると、新規格案の目的が個人情報保護法への適合性を意識したものになっていることが理解できます。以下【　】内はJIS Q15001：１９９９での用語及び定義や、法（個人情報保護法）における扱いです。

3.1　個人情報

【法は個人情報、個人データ、保有個人データに分けて使い分けている】

個人に関する情報であって，当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの（他の情報と容易に照合することができ，それによって特定の個人を識別することができることとなるものを含む。）。

3.2　本人

【JIS Q15001：１９９９では「情報主体」としていた】

個人情報によって識別される特定の個人。

3.3　事業者

【JIS Q15001は従来から個人情報取扱事業者であるかどうかを問いません】

事業を営む法人，その他団体又は個人。

3.4　管理者

【ＣＰＯの設置を求めています】

事業者の内部において代表者から指名された者であって，個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限をもつ者。

3.5　監査責任者

【監査責任者の設置を求めています】

事業者の内部において代表者から指名されたものであって，公平，かつ，客観的な立場にあり，監査の実施及び報告を行う責任及び権限をもつ者。

3.6　本人の同意

【個人情報保護法では規定していない児童の個人情報取得時の保護者同意が入っている（従来は末尾の解説欄でふれられていた。）】

本人が，取得，利用又は提供に関する情報を与えられた上で，自己に関する個人情報の取得，利用又は提供について承諾する意思表示。本人が子どもの場合は，保護者の同意も得るべきである。

3.7　個人情報保護マネジメントシステム

【コンプライアンス・プログラムから個人情報保護マネジメントシステムに変更されるようである。】

事業者が，自らの事業の用に供する個人情報を保護するための方針，体制，計画，実施，監査及び見直しを含むマネジメントシステム。

3.8　不適合

【４．２～４．９の規定を遵守することが必要です。】

要求事項を満たしていないこと。

3.9　是正処置

検出された不適合の原因を除去するための処置。

正式版はどのような内容になるのか、発表まで不明ですが、上述の定義（案）項を見ただけでも、その意図するところは十分に理解することができます。
この規格を遵守しプライバシーマークを取得することによって、５０００件以下の個人情報しか持たない事業者であっても、適切に個人情報を取り扱う事業者であることを消費者にアピールできます。
中小規模の事業者こそ取得を目指すべきであり、B2Bの世界にあっても受託事業者として、プライバシーマークの認証取得はビジネス上の大きなメリットがあるでしょう。
当社はプライバシーマークの取得コンサルティングによって、貴社の個人情報保護体制確立を支援します。

▲ ページTOP

>>	第14回：個人情報保護法に基づく個人データの安全管理措置の徹底に係る注意喚起
<<	第12回：Webサイトからの個人データ漏えい対応策

>>	INDEX に戻る