第1回「プライバシーマーク取得への第一歩」から第6回「プライバシーマークの申請と審査」までで、プライバシーマーク(Pマーク)取得のための手順の一連を解説してきました。いままでの解説は「JIS Q 15001:1999」を対象にしてきましたが、最終回では2006年5月20日に制定された「JIS Q 15001:2006」との差分について解説していきます。
JIS Q 15001:2006への移行
2006年5月20日に「JIS Q 15001:2006」(以下、新JIS)が制定されました。これとともに、プライバシーマークの審査基準は、新JISが基準となります。
財団法人日本情報処理開発協会(JIPDEC)は、新JISへの移行について6カ月間の経過措置期間を設けました。新JISが制定された2006年5月20日を起算日として、6カ月間を経過措置期間(2006年5月20日から2006年11月19日まで)としました。従って、現在は新JISでの申請および更新のみを受け付けています。
プライバシーマークの更新は2年ごとに行います。これを考慮し、経過措置期間後から2年間を、新JISへの移行措置期間としています。そして、移行措置期間の満了の日(2008年11月19日)で旧JIS(JIS Q 15001:1999)の適用が廃止となります。
よって、すでにプライバシーマークを取得している企業は、更新のタイミングで新JISに移行していくことになります。移行措置期間においては、更新申請可能期間(有効期限の4カ月前から3カ月前までの間)の前でも更新申請が可能となっています。
ちなみに、新JISでの取得(更新)を行うと、プライバシーマークも新JIS対応のものになります。詳細は、JIPDECの資料をご確認ください。
【新JIS認定事業者のプライバシーマーク表示について】
http://privacymark.jp/pr/20061114.pdf
JIS Q 15001:2006の改正
初めてプライバシーマークを取得する企業にとって、新JISは旧JISと比較して理解しやすいといえるでしょう。なぜなら、用語や考え方などが個人情報保護法を参考に改正されたといえるからです。
日本において、個人情報保護という考えが広く知られるようになったきっかけは、2005年4月に全面施行となった個人情報保護法の制定です。個人情報保護の考え方は、世界でももっと以前から存在し、1980年のOECD8原則、1995年EU個人情報保護指令と広まりました。そして日本では、1999年に旧JISが制定されています。個人情報保護法は、世界の動きを追いかけるように作られた法律といえます。
しかし、個人情報保護法は旧JISに合わせて作られた法律ではないので、個人情報の保護という基本原則は共通でありながら、用語の使い方には共通性はありませんでした。今回の新JISの改正に当たり、まず用語が個人情報保護法を意識した定義となっている点も大きなポイントとなります。
名称も以下のように変更になりました。
「個人情報保護に関するコンプライアンス・プログラムの要求事項」(JIS Q 15001:1999)
↓
「個人情報保護マネジメントシステム?要求事項」(JIS Q 15001:2006)
「マネジメントシステム」という文言への変更により、JISが求めているものは、PDCAサイクルによる、継続的で形骸化しない個人情報保護活動であることがより明確になっています。
新JIS改定に当たり、「より具体的になった」ということも重要なポイントでしょう。旧JISにおいて、解釈の難しかった部分や具体性に欠ける記述について、できる限り「すべきこと」を記述するよう配慮されています。また、規格に付属する解説では、できるだけ具体的な適用場面を記述するなど、理解を助けるよう改正されています。
旧JISから新JISへの変更点
新JISでは、個人情報保護法の概念を取り込みつつ、旧JISで分かりにくかったところを明確にするため、項目を細分化しています。特に用語については、情報主体を「本人」、個人情報の収集を「取得」とするなど、個人情報保護法と共通の用語を用いており、理解しやすくなっています。
以下は、旧JISと比較して、どの項目が変更・追加されたかをまとめたものです。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
Copyright © ITmedia, Inc. All Rights Reserved.