個人情報保護法対策室
個人情報保護法対策室
トップページ
個人情報保護法とは
個人情報保護法の解説
個人情報保護の対策
プライバシーコンサルタントのコラム
FAQ
セミナー・お問い合せ
リンク集
プライバシーコンサルタントのコラム


第15回   JISQ15001:2006の改訂発行について
2006/04/12
プライバシー・コンサルタント
渡部 大也
PROFILE

プライバシーマークの認証基準であるJISQ15001:1999は本来のタームである5年を越えて長く利用されてきました。2005年末にJISQ15001:2006の発行が経済産業省よりアナウンスされ、JIPDECからも2006年5月中旬の発行予定であることがアナウンスされました。

事前の(案)の提示が2005年12月にありましたが、この(案)にたいし、パブリックコメントが求められました。この(案)は多くの方がご覧になったとおり、JISQ15001:1999本文の4.1〜4.6は4.1〜4.9に拡大され、特に内部規定の拡大、 本人にアクセスする場合の措置の新設、緊急事態への準備の新設など、定義も含めて、個人情報保護法や基本方針に沿ったものとなっていました。

今般、経済産業省の日本工業標準調査会適合性評価部会、第11回管理システム規格専門委員会(平成18年2月14日発信:書面審議)の開催に際し、内容の賛否を問うため、最終案?が経済産業省産業技術環境局管理システム標準化推進室より、委員に配信されましたがJISCのホームページでそれを閲覧することができます。

本案もまだ、規程、計画、点検・監査部分などに整合されていなのではないかとおもわれる部分が残っていますが、全項目にわたり、見直しが図られており4.1〜4.9は3.1〜3.9に変更されています。

正規版では不明点に対する「解説」がついたり、JIPDECから「(点検)監査ガイドライン」等が出てくると思いますが、以下に2月14日版のJISQ15001:2006(案)の目次部分を掲載いたします。

JIS Q15001:2006

目  次
  • 1 適用範囲
  • 2 用語及び定義
  • 3 要求事項
  • 3.1 一般要求事項
  • 3.2 個人情報保護方針
  • 3.3 計画
  • 3.3.1 個人情報の特定
  • 3.3.2 法令、国が定める指針その他の規範
  • 3.3.3 リスクなどの認識、分析及び対策
  • 3.3.4 資源、役割、責任及び権限
  • 3.3.5 内部規程
  • 3.3.6 計画書
  • 3.3.7 緊急事態への準備
  • 3.4 実施及び運用
  • 3.4.1 運用手順
  • 3.4.2 取得、利用及び提供に関する原則
  • 3.4.2.1 利用目的の特定
  • 3.4.2.2 適正な取得
  • 3.4.2.3 特定の機微な個人情報の取得の制限
  • 3.4.2.4 本人から直接書面によって取得する場合の措置
  • 3.4.2.5 個人情報を3.4.2.4 以外の方法によって取得した場合の措置
  • 3.4.2.6 利用に関する措置
  • 3.4.2.7 本人にアクセスする場合の措置
  • 3.4.2.8 提供に関する措置
  • 3.4.3 適正管理
  • 3.4.3.1 正確性の確保
  • 3.4.3.2 安全管理措置
  • 3.4.3.3 従業者の監督
  • 3.4.3.4 委託先の監督
  • 3.4.4 個人情報に関する本人の権利
  • 3.4.4.1 個人情報に関する権利
  • 3.4.4.2 開示等の求めに応じる手続
  • 3.4.4.3 開示対象個人情報に関する周知など
  • 3.4.4.4 開示対象個人情報の利用目的の通知
  • 3.4.4.5 開示対象個人情報の開示
  • 3.4.4.6 開示対象個人情報の訂正、追加又は削除
  • 3.4.4.7 開示対象個人情報の利用又は提供の拒否権
  • 3.4.5 教育
  • 3.5 個人情報保護マネジメントシステム文書
  • 3.5.1 文書の範囲
  • 3.5.2 文書管理
  • 3.5.3 記録の管理
  • 3.6 苦情及び相談への対応
  • 3.7 点検
  • 3.7.1 運用の確認
  • 3.7.2 内部監査
  • 3.8 是正処置及び予防処置
  • 3.9 事業者の代表者による見直し



経済産業省:工業標準の制定・日本工業規格の改正に関する説明資料より抜粋

◆制定・改正の必要性及び期待効果

  • 個人情報保護対応の水準を技術的に明示する。(一定の明快な対応方法の特定)
  • マネジメントシステムによる個人情報保護水準の維持
  • 個人情報保護水準の評価に対する客観性の確保
  • 認定基準の明確化により認定制度に対する社会的信頼性を確保
  • 民間部門の自主的取組の促進、業種業態を超えた対応の確保

◆規定項目又は改正点

  1. 個人情報保護法で導入された概念の導入・明確化
    • 本人の同意なしに第三者提供を行う措置を追加する。
    • 従業員の監督、委託先の監督に関する規定を追加する。
    • 開示、削除、第三者提供停止等を行う個人情報の範囲を明確化する。
  2. 用語の統一
    JIS の用語を個人情報保護法の用語に統一する。
  3. マネジメントシステム(PDCA サイクル)を明確化する。
    ISO/Guide72(マネジメントシステム規格の正当性及び作成に関する指針)に従った規格とし、他のマネジメントシステム規格との構造の整合性を確保する。

◆原案作成の審議中問題となった点(少数意見を含む)

  • マネジメントシステム規格として、本来「目標の設定」を規定すべきであるが、個人情報保護にいては、目標を設定するのが困難との意見が多数を占め、削除した。
  • 「権利」に関して、JIS で規定するのはなじまないとの意見が出たが、消費者保護の観点から必要との意見が多数をしめ、規定した。
  • 一般企業では、内部規定に基づき方針が決められる。従って、「方針」の規定は、内部規定に盛り込むべきであるとの意見が出たが、ここで言う方針は、全社の方針では、あくまでも個人情報保護に関するものであることを確認した。



▲ ページTOP


>> 第16回:Winny, Antinnyによる
個人情報漏えい対策の考え方
<< 第14回:個人情報保護法に基づく
個人データの安全管理措置の徹底に係る注意喚起
>> INDEX に戻る

このサイトについて   |   サイトマップ   |   個人情報保護について
Copryright (c) 2004-2008, NEC Nexsolutions, Ltd.