JIS Q 15001

出典: フリー百科事典『ウィキペディア（Wikipedia）』

修正依頼

この項目は、改正されたJIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項に対応していないため、修正・推敲を広く求めています。

JIS Q 15001（個人情報保護に関するコンプライアンス・プログラムの要求事項）は、事業者が業務上取り扱う個人情報を安全で適切に管理するための標準となるべく、財団法人日本規格協会の原案により策定された日本工業規格の一つ。この規格では、事業者が保有する個人情報を把握し、収集や利用に先立ち個人情報のもとの所有者から同意を得ること、事業者が個人情報保護のための組織を設けること、その体制を定期的に見直し改善すること、そしてこれらを実践するためのプログラム（コンプライアンス・プログラム）を持つことなど求めている。1999年に海外での先例にならって作られた管理システムであり、個人情報保護に関する同様の理念は2005年より施行となった個人情報の保護に関する法律でも見ることができる。

[編集] 経緯

1970年代から1980年代にかけ、コンピュータの技術向上により一般企業でも業務で大量の情報処理を行うことが可能になった。扱われる情報には当然個人情報も含まれ、個人情報が紛失・盗難・漏洩・改竄に遭う可能性も高くなった。1990年代にはインターネットの普及により、このような危険は一層高まっており、実際個人情報が関係する事故も報じられるようになっている。個人情報に関わる事故が発生した場合、個人情報の持ち主である個人が多大な不利益を被るばかりか、事故を起こした事業者も訴訟や信頼の失墜などにより大きな損害を受ける事態となりうる。

情報処理技術と個人情報を取り巻く環境の変化を受け、OECDは1980年に「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」を策定した。この勧告では、大きく8項目に分けて個人情報の保護に関する原則を謳っており、しばしばOECD 8原則と呼ばれている。OECD 8原則では、個人データを適法かつ公正に収集すること、収集に際しては必ず収集元である個人より同意を得ること、収集の目的を明確に告げること、収集元である個人が自らの情報を提供したのちもその情報にアクセスする権利を持つこと、収集した個人データを安全かつ適切に管理すること、個人データの管理責任者を明確にすることなどが掲げられている。

この原則が示す理念は、OECD加盟の欧米各国などで個人情報保護に関する管理システム策定に受け継がれただけでなく、日本でも1984年に制定された電気通信事業法、1988年の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」などで反映されたほか、1999年の JIS Q 15001 の策定、2003年の個人情報の保護に関する法律制定へとつながって行くことになる。

[編集] 規格の概要

[編集] コンプライアンス・プログラム

事業者が個人情報保護を実践するために持つ管理システムを JIS Q 15001 ではコンプライアンス・プログラムと呼んでいる。個人情報を適切に扱うため、JIS Q 15001 は事業者がコンプライアンス・プログラムを持ち、それを実践するための計画を立て、それを実行し、個人情報保護が適切に行われているかを定期的または必要に応じ確認し、改善すべき点があれば改め、再びコンプライアンス・プログラムを見直すというサイクルを運用すべきであると謳っている。このサイクルは、計画 (plan)、実行 (do)、確認 (check)、見直し (act) の頭文字を取りPDCAサイクルと呼ばれる。

コンプライアンス・プログラムとは組織内で実践すべき事柄をまとめた管理システムであり、PDCAサイクルはそれを実施し絶えず改善するための手法である。同様の概念は品質管理システムであるISO9001、環境管理システムであるISO14001あるいは情報管理システムであるISMSなど他の管理システムでも採用されており、個人情報保護にのみ関わるわけではない。

[編集] 要求事項

[編集] 若干の用語

JIS Q 15001 では、冒頭でいくつかの用語の定義を示している。そのうち、「個人情報」に関しては、個人を識別できる情報であり、たとえ一見して個人を識別できなくとも他の情報と合わせれば個人の識別が可能になるものも個人情報であると定めている。同様の定義は個人情報保護法でも採用されている。個人情報保護法では、「個人情報」の他に「個人データ」「保有個人データ」を区別しているが、JIS Q 15001 では特にそのような区別はしていない。

一般の企業が保有し利用する個人情報は、顧客の情報が多くを占める場合も見られるが、顧客ばかりでなく従業員の個人情報も JIS Q 15001 が保護の対象とする個人情報に含まれる。

その他、JIS Q 15001 では、日常では馴染みのない情報主体という言葉が定義されている。情報主体とは、特定の個人情報により識別される個人のことであり、要するに個人情報の本来の持ち主、本人を指す。この用語は個人情報保護法でも用いられている。

[編集] 個人情報保護方針

JIS Q 15001 は、事業者が個人情報の収集や利用を適切に行っていること、個人情報を安全に管理していることなど、個人情報保護に関する取り組みについて文書化し、内外に示すべきであると要求している。この指針を「個人情報保護方針」と呼んでおり、一般企業でもウェブ上などで公開するケースもしばしば見られるようになっている。個人情報保護方針を策定するのは事業者の代表者であるとしている。

[編集] 個人情報の特定とリスク分析

事業者は、自らが保有するあらゆる個人情報を把握し、それらがどのようなリスクを持つのか認識するための手段を持つよう求められる。個人情報が持つリスクを分析したのち、もしも業務の運用上紛失・盗難・改竄・破壊などのリスクがなお残る場合には、適切な対処をしなくてはならない。

[編集] 内部規程

事業者は、コンプライアンス・プログラムを具体的にどのように運用するかを定めた規程を持ち、それを文書化しなければならない。規程では、個人情報保護のための組織を設け、各部署および組織全体の責任者を置くことが明記される。

また個人情報の収集や利用、提供、委託を適切に行うこと、情報主体より自らの個人情報を開示あるいは訂正・削除の要求があった場合に対応する手段を持つこと、個人情報保護に関する教育を実施すること、コンプライアンス・プログラムに基づく体制を監査するための手はずを持つこと、規程に対する違反があった場合には罰則が適用されることなどが規程により明記されなくてはならない。

[編集] 個人情報の収集・利用

個人情報を収集するに際しては、利用の目的を明確にすること、適法で公正な方法で収集を行うことを定め、収集に関して情報主体の同意を得ることを求めている。同意を得る際には、情報主体に対し事業者における個人情報保護の責任者を明示することや利用目的を告げること、個人情報の開示・訂正・削除の権利を告げる必要がある。情報主体からでなく、第三者を通じて個人情報を収集する場合も、同様の趣旨を情報主体に知らせた上で同意を得なくてはならない。

また、収集した個人情報を利用する際、情報主体から同意を得た範囲を超えてはならない。もし当初情報主体に告げた内容とは別の目的が生じた場合には、事前に情報主体に対して同意を得なくてはならない。

[編集] 個人情報の管理

個人情報を保有する事業者は、これを安全に管理し、紛失・破壊・改竄・漏洩など個人情報を損ない、情報主体に不利益を与えることのないよう処置を講じなくてはならない。

事業者は保有する個人情報を業務上第三者に受け渡す場合がありうるが、その際にも個人情報を受け取る第三者が同様の管理を行うよう処置を取らなくてはならない。

[編集] PDCAサイクルの運用

その他、JIS Q 15001 は、以上の内容を事業者における従業員に教育し、周知させることを求めている。

また、組織内に監査責任者を設け、定期的または必要に応じ、コンプライアンス・プログラムの運営体制が JIS Q 15001 に適合しているかどうかについて監査すべきであると定めている。監査により改善すべき点が発見されれば、事業者の代表者によりコンプライアンス・プログラムの見直しを行い、必要ならば改訂することを要求している。

[編集] プライバシーマーク制度との関係

JIS Q 15001 の要求を満たし、個人情報保護に関して適切な処置を行っていると判断される事業者には、財団法人日本情報処理開発協会 (JIPDEC)によりプライバシーマークの使用が認可される。プライバシーマークはアルファベットのPをかたどったロゴであり、認可を受けた事業者は自社のウェブサイトや出版物などに利用して個人情報保護の安全な運用を対外的にアピールできる。

JIS Q 15001 の要求事項は簡潔にまとめられているが、業務において要求項目を実践するには、事業者においてコンプライアンス・プログラムを持ち、それを実践する組織や規程を設け、個人情報が関係するあらゆる場面で規格の要求する事項を実施することが求められる。JIPDECの審査により JIS Q 15001 が事業において適切に適用されていることが認められた場合、所定の手続きを経てプライバシーマークの使用が可能になる。