改正JIS Q 15001：2006とプライバシーマーク制度－その１(新JISへの移行計画）

ITpro Watcher

2006.07.18

　プライバシーマーク制度が準拠してきた日本工業規格「JIS Q 15001：1999」が、本年５月20日、約７年ぶりに改正され、「JIS Q 15001：2006（個人情報保護マネジメントシステム－要求事項）」となった。これに伴い、プライバシーマーク制度も新JISへの移行作業が進められている。このマークをすでに取得し、もしくは取得を希望する企業は多く、それらに対し今回の改正が与える影響は大きい。そこで本コラムでは、何回かに分けて新JISへの対応について、簡単に解説を加える。

　プライバシーマーク制度とは、企業その他の事業者からの申請に基づき、JIS Q 15001への適合性を認定（認証）し、その旨を示すプライバシーマークを付与して、その使用を認める制度である。

　一般に、プライバシーマーク取得企業は、個人情報の取扱いについて顧客や取引先に対する信用を高めることができるから、このマークの取得をインセンティブとして、個人情報保護に対する企業の自主的な取組が促進されることになる。以上が、この制度が設けられた狙いである。

　この制度は、経済産業省の外郭団体「財団法人日本情報処理開発協会（JIPDEC）」が運営しており、2006年７月11日現在、すでに4,580社が取得している。個人情報保護に関するマーク制度は他にも存在しているが、取得企業数などの点でそれらを圧倒しており、わが国におけるスタンダードとしての地位を占めている。

　最初に、今回に至る経緯について振り返っておきたい。

　もともとプライバシーマーク制度は1998年に運用が開始された。当初は、通商産業省（当時）が策定した「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」（平成9年3月4日通商産業省告示第98号）への適合性を認定する制度として位置づけられていた。

　1999年３月になって「JIS Q 15001：1999（個人情報保護に関するコンプライアンス・プログラムの要求事項）」（旧JIS）が制定されたことから、この制度は旧JISの適合性認定制度へと移行した。

　その後、2005年４月に個人情報保護法が全面施行された。このため、プライバシーマークの取得を希望する企業が急増する一方、個人情報保護法に対応することを目的に旧JISが改正され、今回の「JIS Q 15001：2006（個人情報保護マネジメントシステム－要求事項）」（新JIS）となった。旧JISは個人情報保護法が制定される前に作られているので、必ずしも同法に整合していない部分が存在していたからである。

　これによって、プライバシーマーク制度も新JISに移行することになった。

　JIPDECは、新JISに対応するため、「JIS Q 15001：2006への移行計画」を公表している。

　まず、新JISの制定日（本年５月20日）から起算して６ヵ月間を「経過措置期間」とする。この経過措置期間中は、企業は新旧JISのどちらでも自由に選択して、プライバシーマークの新規申請をすることが許されている。更新申請も同様である。

　しかし、経過措置期間が終われば、企業は新JISで新規・更新申請をしなければならず、旧JISでの申請そのものが許されなくなる。つまり、その時点以後の申請は新JISに一本化される。

　次に、経過措置期間の終了後から２年間が、新JISへの「移行措置期間」として指定されており、移行措置期間の満了とともに旧JISの適用は廃止される。

　プライバシーマークの更新期間は２年間と定められているから、移行措置期間の満了時点で、すべて新JIS適用企業に統一されることになる。

　しかも、本来の更新時点前であっても、移行措置期間内であれば、プライバシーマーク取得企業は、新JISに基づいて前倒しで更新申請することができる。これによって更新申請すれば、その更新時点から新たに２年間の有効期限が認められる。新JISへの移行を促進するための措置である。

　一般にプライバシーマークの新規取得には周到な準備作業が必要になるから、当初に取得希望企業が見込んでいる予定期間よりも、実際の申請時期は遅れがちになる傾向がある。そのため期間的な余裕を事前に見込んでおくことが必要となる。

　また、仮に経過措置期間の終了までに、駆け込みで旧JISに準拠して取得したとしても、どちらにせよ短期間のうちに新JISに移行しなければならないことは当然である。

　したがって、現時点で取得を開始しようとする企業としては、新JISに基づいて準備作業を進めておく方が、実務的には得策となる。現在、取得に向けて旧JISで準備作業をおこなっている企業は、そのまま旧JISに準拠して取得作業を進めるべきか、すみやかに新JISの概要を把握した上で、この点を社内で再検討することが必要となる。

　さらに、前述のように旧JISは必ずしも個人情報保護法と整合していない部分がある。したがって、すでに取得している企業としても旧JISは使い勝手が良いとはいえない。それに加えて、顧客や取引先としても、取得企業が最新の基準、つまり新JISに適合しているものと判断していてもおかしくない状況である。

　このため、すでに旧JISに基づいてプライバシーマークを取得している企業であっても、できるだけ早期に新JISへと移行することが求められる。

　ただ、新JISにも課題が残されていないわけではない。それは、改正された直後であるため、まだ新JISの内容が周知されておらず、実務的な対応について未知数の点が残されているからである。このため、JIPDECが説明会を開催したり、JISの原案作成を担当する財団法人日本規格協会から新JISの解説書が出版されるなど、普及活動が開始されている。

　次回は、どの部分が旧JISから変更されたのか、新JISの中味についての解説に入る予定である。

◎関連資料
◆規格詳細情報「JIS Q 15001:2006」（財団法人日本規格協会）
◆「JIS Q 15001：2006への移行計画」（財団法人日本情報処理開発協会）
◆ 「JIS Q 15001改正に伴う申請について」（財団法人日本情報処理開発協会）
◆書籍案内「JIS Q 15001:2006　個人情報保護マネジメントシステム　要求事項の解説」（財団法人日本規格協会）
◆書籍案内「これだけは守りたいＰマークルールブック」（日経出版販売）