新しい審査基準「JIS Q 15001:2006」を学ぶ:Pマーク取得への道(7)(1/3 ページ)
第1回「プライバシーマーク取得への第一歩」から第6回「プライバシーマークの申請と審査」までで、プライバシーマーク(Pマーク)取得のための手順の一連を解説してきました。いままでの解説は「JIS Q 15001:1999」を対象にしてきましたが、最終回では2006年5月20日に制定された「JIS Q 15001:2006」との差分について解説していきます。
JIS Q 15001:2006への移行
2006年5月20日に「JIS Q 15001:2006」(以下、新JIS)が制定されました。これとともに、プライバシーマークの審査基準は、新JISが基準となります。
財団法人日本情報処理開発協会(JIPDEC)は、新JISへの移行について6カ月間の経過措置期間を設けました。新JISが制定された2006年5月20日を起算日として、6カ月間を経過措置期間(2006年5月20日から2006年11月19日まで)としました。従って、現在は新JISでの申請および更新のみを受け付けています。
プライバシーマークの更新は2年ごとに行います。これを考慮し、経過措置期間後から2年間を、新JISへの移行措置期間としています。そして、移行措置期間の満了の日(2008年11月19日)で旧JIS(JIS Q 15001:1999)の適用が廃止となります。
よって、すでにプライバシーマークを取得している企業は、更新のタイミングで新JISに移行していくことになります。移行措置期間においては、更新申請可能期間(有効期限の4カ月前から3カ月前までの間)の前でも更新申請が可能となっています。
ちなみに、新JISでの取得(更新)を行うと、プライバシーマークも新JIS対応のものになります。詳細は、JIPDECの資料をご確認ください。
【新JIS認定事業者のプライバシーマーク表示について】
http://privacymark.jp/pr/20061114.pdf
JIS Q 15001:2006の改正
初めてプライバシーマークを取得する企業にとって、新JISは旧JISと比較して理解しやすいといえるでしょう。なぜなら、用語や考え方などが個人情報保護法を参考に改正されたといえるからです。
日本において、個人情報保護という考えが広く知られるようになったきっかけは、2005年4月に全面施行となった個人情報保護法の制定です。個人情報保護の考え方は、世界でももっと以前から存在し、1980年のOECD8原則、1995年EU個人情報保護指令と広まりました。そして日本では、1999年に旧JISが制定されています。個人情報保護法は、世界の動きを追いかけるように作られた法律といえます。
しかし、個人情報保護法は旧JISに合わせて作られた法律ではないので、個人情報の保護という基本原則は共通でありながら、用語の使い方には共通性はありませんでした。今回の新JISの改正に当たり、まず用語が個人情報保護法を意識した定義となっている点も大きなポイントとなります。
図1 個人情報保護に関する世界と日本の流れ名称も以下のように変更になりました。
「個人情報保護に関するコンプライアンス・プログラムの要求事項」(JIS Q 15001:1999)
↓
「個人情報保護マネジメントシステム?要求事項」(JIS Q 15001:2006)
「マネジメントシステム」という文言への変更により、JISが求めているものは、PDCAサイクルによる、継続的で形骸化しない個人情報保護活動であることがより明確になっています。
新JIS改定に当たり、「より具体的になった」ということも重要なポイントでしょう。旧JISにおいて、解釈の難しかった部分や具体性に欠ける記述について、できる限り「すべきこと」を記述するよう配慮されています。また、規格に付属する解説では、できるだけ具体的な適用場面を記述するなど、理解を助けるよう改正されています。
旧JISから新JISへの変更点
新JISでは、個人情報保護法の概念を取り込みつつ、旧JISで分かりにくかったところを明確にするため、項目を細分化しています。特に用語については、情報主体を「本人」、個人情報の収集を「取得」とするなど、個人情報保護法と共通の用語を用いており、理解しやすくなっています。
以下は、旧JISと比較して、どの項目が変更・追加されたかをまとめたものです。
項番 |
変更・追加点 |
|
| 1. | 適用範囲 | 適用範囲の変更 |
| 2. | 用語及び定義 | 個人情報保護法と用語を統一方向 |
| 3. | 要求事項 | |
| 3.2 | 個人情報保護方針 | ガイドラインの順守を追加 制定年月日などの追加 |
| 3.3 | 計画 | |
| 3.3.1 | 個人情報の特定 | |
| 3.3.2 | 法令、国が定める指針その他の規範 | |
| 3.3.3 | リスクなどの認識、分析及び対策 | 各局面におけるリスクの認識 審査事項の明確化 |
| 3.3.4 | 資源、役割、責任及び権限 | |
| 3.3.5 | 内部規定 | 6項目→15項目に |
| 3.3.6 | 計画書 | |
| 3.3.7 | 緊急事態への準備(追加) | 緊急事態の特定と対応 |
| 3.4 | 実施及び運用 | |
| 3.4.1 | 運用手順(追加) | 運用手順の明確化(PDCAサイクル) |
| 3.4.2 | 取得、利用 | |
| 3.4.2.1 | 取得、利用及び提供に関する原則 | |
| 3.4.2.2 | 適正な取得 | |
| 3.4.2.3 | 特定の機微な個人情報の取得利用及び提供の制限 | |
| 3.4.2.4 | 本人から直接書面によって取得する場合の措置 | 旧JISの直接収集の中の書面による取得 |
| 3.4.2.5 | 個人情報を3.4.2.4以外の方法によって取得した場合の措置 | 書面以外の取得 旧JISの間接収集 |
| 3.4.2.6 | 利用に関する措置 | |
| 3.4.2.7 | 本人にアクセスする場合の措置 (追加) | 同意が必要 |
| 3.4.2.8 | 提供に関する措置(追加) | 同意が必要(法的) |
| 3.4.3 | 適正管理 | |
| 3.4.3.1 | 正確性の確保 | |
| 3.4.3.2 | 安全管理措置 | リスクに応じた措置 |
| 3.4.3.3 | 従業者の監督 (追加) | 必要かつ適切な監督(法的) |
| 3.4.3.4 | 委託先の監督 | |
| 3.4.4. | 個人情報に関する本人の権利 | |
| 3.4.4.1 | 個人情報に関する権利 | 「開示対象個人情報」=「保有個人データ」 (法的) |
| 3.4.4.2 | 開示等の求めに応じる手続き | |
| 3.4.4.3 | 開示対象個人情報に関する事項の周知など | |
| 3.4.4.4 | 開示対象個人情報の利用目的の通知 | |
| 3.4.4.5 | 開示対象個人情報の開示 | |
| 3.4.4.6 | 開示対象個人情報の訂正、追加又は削除 | |
| 3.4.5 | 教育 | 定期的に適切な教育を行う |
| 3.4.5.1 | 文書の範囲 | a)個人情報保護方針 b)内部規定 c)計画書 d)記録 |
| 3.4.5.2 | 文書管理 | 項目の明確化 手順を確立し、実施し、維持する |
| 3.4.5.3 | 記録の管理 | |
| 3.6 | 苦情及び相談への対応 | 迅速な対応と体制 |
| 3.7 | 点検 | |
| 3.7.1 | 運用の確認(追加) | 定期的な確認 |
| 3.7.2 | 監査 | 監査責任者の選定・資質 |
| 3.8 | 是正処置及び予防処置(追加) | 不適合に対する手順の確立 |
| 3.9 | 事業者の代表者による見直し | 項目の明確化 |
| 表1 旧JISから新JISへの改正による変更点 |
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。