JIS Q 15001:2006 を読む
個人情報保護に関するコンプライアンス・プログラムの要求事項として制定され、プライバシーマーク取得の際の認証基準となっている JIS Q 15001 が、平成18年5月に改正された。
「個人情報保護法の全面施行を迎え、規格の取り巻く環境は大きく変化」(同解説より) したことを踏まえた見直しである。規格自体の名称もコンプライアンス・プログラムからマネジメント・システムに変更されているが、何よりも個人情報保護法との整合性を意識した改正となっている。
以下、旧「JIS Q 15001:1999 個人情報保護に関するコンプライアンス・プログラム要求事項」との違いに着目しながら、、新「JIS Q 15001:2006 個人情報保護マネジメントシステム要求事項」を読んでいく。
JIS Q 15001 改正の視点
改正の背景にあるもの
JIS Q 15001要求事項の解説によると、「情報技術の発展と個人情報保護の必要性の高まり」が改正の背景としてあげられている。しかしながら、解説書の「改正の趣旨および経緯」の章末が、「改正に当たっては、個人情報の保護に関する法律に基づく個人情報保護ルール及びマネージメントシステムを併せもった規格とした。」と結ばれている点からみても、実質的には個人情報保護法との整合性の確保が最大の変更点だと言える。
個人情報保護法とJISのダブルスタンダード
「二つの個人情報保護」という記事で取り上げたように、個人情報保護法とJIS規格のダブル・スタンダードによる混乱を収束させることが改正の狙いである。
章立てから見る改正点
規格の章立てから改正のポイントを見てみよう。カッコ内に旧JISとの出入りを付記した。
JIS Q 15001:2006 目次
- 1 適用範囲
引用規格(新JISでは削除、3.3.2に統合)- 2 用語及び定義
- 3 要求事項
- 3.1 一般要求事項
- 3.2 個人情報保護方針
- 3.3 計画
- 3.3.1 個人情報の特定
- 3.3.2 法令、国が定める指針その他規範
- 3.3.3 リスクなどの認識、分析及び対策(新JIS追加、3.3.1 から独立)
- 3.3.4 資源、役割、責任及び権限(実施及び運用から移動)
- 3.3.5 内部規程
- 3.3.6 計画書
- 3.3.7 緊急事態への準備(新JIS追加)
- 3.4 実施及び運用
体制及び責任(3.3.4へ移動)- 3.4.1 運用手順(新JIS追加)
- 3.4.2 取得、利用及び提供に関する原則
- 3.4.2.1 利用目的の特定(新JIS追加)
- 3.4.2.2 適正な取得
- 3.4.2.3 特定の機微な個人情報の取得、利用及び提供の制限
- 3.4.2.4 本人から直接書面によって取得する場合の措置
- 3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置
- 3.4.2.6 利用に関する措置
- 3.4.2.7 本人にアクセスする場合の措置(新JIS追加)
- 3.4.2.8 提供に関する措置(新JIS追加)
- 3.4.3 適正管理
- 3.4.3.1 正確性の確保
- 3.4.3.2 安全管理措置
- 3.4.3.3 従業者の監督(新JIS追加)
- 3.4.3.4 委託先の監督
- 3.4.4 個人情報に関する本人の権利
- 3.4.4.1 個人情報に関する権利
- 3.4.4.2 開示等の求めに応じる手続き(新JIS追加)
- 3.4.4.3 開示対象個人情報に関する事項の周知など(新JIS追加)
- 3.4.4.4 開示対象個人情報の利用目的の通知(新JIS追加)
- 3.4.4.5 開示対象個人情報の開示(新JIS追加)
- 3.4.4.6 開示対象個人情報の訂正、追加又は削除(新JIS追加)
- 3.4.4.7 開示対象個人情報の利用又は提供の拒否権
- 3.4.5 教育
- 3.5 個人情報保護マネジメントシステム文書
- 3.5.1 文書の範囲(新JIS追加)
- 3.5.2 文書管理
- 3.5.3 記録の管理(新JIS追加)
- 3.6.苦情及び相談への対応
- 3.7 点検
- 3.7.1 運用の確認(新JIS追加)
- 3.7.2 監査
- 3.8 是正処置及び予防処置(新JIS追加)
- 3.9 事業者の代表者による見直し
章立ての変化から分かること
情報主体が本人に、収集が取得に、監査が点検に、それぞれ言い換えられている。これら用語については機会があれば詳述するとして、新JIS Q 15001 を旧JISの章立てと比較すると、旧JISから削除された項目はわずか2つ(これらも統合と言ったほうが適当か)、新JISで追加された項目は以下の通りである。
主な追加項目
- 3.3.3 リスクの認識・分析・対策←3.3.1個人情報の特定
- 3.3.7 緊急事態への準備
- 3.4.1 運用手順
- 3.4.2.1 利用目的の特定
- 3.4.2.7 本人にアクセスする場合の措置
- 3.4.3.3 従業者の監督
- 3.4.4.2 開示等の求めに応じる手続き
- 3.4.4.3 開示対象個人情報に関する事項の周知など
- 3.4.4.4 開示対象個人情報の利用目的の通知
- 3.4.4.5 開示対象個人情報の開示
- 3.4.4.6 開示対象個人情報の訂正、追加又は削除
- 3.5.1 文書の範囲
- 3.5.3 記録の管理
- 3.7.1 運用の確認
- 3.8 是正処置及び予防処置
JIS Q 15001 改正のポイント
これらの追加項目をグルーピングすると次のようになる。
追加されたポイント
- リスク分析
- 緊急事態への備え
- 利用目的の特定
- 従業員教育
- 開示等への対応
- 記録の管理
- 是正及び予防
これらの追加項目が今回の改正の重要ポイントだと言える。
次回へ
次回以降は、いくつかのポイントに絞って、更に旧JISとの違いを見ていくことにする。
