約7年ぶりに改正された新JIS Q 15001について、前回(新JISへの移行計画)に続き、旧JISからどのような内容へと変更されたのか、プライバシーマークの実務的な観点から、その概要について解説する。今回は改正のポイントについて述べる。
表題の変更
まず、JIS Q 15001という規格番号は同一のまま、新JIS(JIS Q 15001:2006)では表題(規格名称)だけが変更された。
旧JIS(JIS Q 15001:1999)は「個人情報保護に関するコンプライアンス・プログラムの要求事項」と題されていた。「コンプライアンス」とは法令遵守という意味だから、「個人情報保護に関する法令遵守プログラム」という意味になる。
これに対し、新JISでは、表題が「個人情報保護マネジメントシステム-要求事項」となった。
このように表題が変更された理由は何か。
新JISの公式解説書「JIS Q 15001:2006 個人情報保護マネジメントシステム 要求事項の解説」(財団法人日本規格協会)によれば、今回の表題変更は以下の理由に基づいている。
ISOやJISでは、ISO9000シリーズや14000シリーズにみられるように、マネジメントシステムを定める規格の場合、「マネジメントシステム」という用語を使うことが一般的である。これに倣い、今回の改正では「コンプライアンス・プログラム」から「マネジメントシステム」へと変更された、というものである。
表題の変更は、以上のように形式的な理由にすぎない。したがって、表題が変更されたからといって、規格の基本的な性格そのものが、実質的に変更されたというわけではない。
個人情報保護法との関係
次に、旧JISと比べて内容・位置づけの面では、どのように変わったか。
旧JISは、前回述べたとおり、個人情報保護法(保護法)が国会で可決成立するよりも、何年も前から制定されていた。このため、内容の面で同法との整合性は図られていなかった。
これに対し、新JISは、保護法の全面施行を踏まえて制定されており、保護法(保護法に関する各省庁のガイドラインを含む)への対応を図ることを狙いとしている。
いわば、新JISは保護法を補完するものとして位置づけられたことになる。したがって、新JISをきちんと理解して対応するためには、ベースとなる保護法についての正確な知識が不可欠となる。あわせて、この機会に信頼できる書籍などで保護法について復習しておくとよいだろう。
前述の公式解説書によれば、具体的には次の各点が今回の改正のポイントとされている。以下では、これにそって順に解説する。
|
1.保護法で定められた概念の導入・明確化 2.用語の統一 3.これまでJIS Q 15001が果たしてきた意義の継続 4.マネジメントシステム(PDCAサイクル)の明確化 5.認証基準としての審査事項の明確化 |
保護法で定められた概念の導入・明確化
第1点は、「保護法で定められた概念の導入・明確化」である。
詳細は後述するが、具体例をあげると、保護法で従業者の監督、委託先の監督に関する規定が設けられたことに伴い、新JISでも同様の規定が導入された。
前述のとおり、新JISは基本的に保護法の規定をベースにしている。したがって、保護法とほぼ同趣旨の規定が、少なからず置かれている。
可能なら本稿に新JISの条項そのものを掲載したいところであるが、新JISは著作権で保護されている著作物となっている。したがって、できれば読者が各自、新JISを別途入手して、手元に用意していただきたい。
なお、事前に日本工業標準調査会サイトで公表されていた原案と、完成した新JISは、要求事項の番号が一部変更されているほか、細部に手が入れられているので同一ではない。注意されたい。
用語の統一
「用語の統一」も、保護法との関係で図られたものである。用語及び定義は、新JISの「要求事項2」部分に記載されている。
保護法では「本人」という言葉が登場する。これを旧JISでは「情報主体」と呼んでいた。そのため、保護法と用語を統一する目的で、新JISでは「情報主体」ではなく「本人」という言葉に表現が変更された。
他にも旧JISの「収集」が「取得」に、「預託」が「取扱いの委託」に、「受領者」が「提供を受ける者」に、それぞれ旧JISから新JISへの改正に伴って変更された。これらの変更も、すべて同様の理由に基づいている。
ただし、新JISと保護法とで、「個人情報」「本人」のように、おなじ言葉が使われていても、意味が異なっているケースがあることに注意する必要がある。この点は次々回説明する予定である。
その一方で、新JISには、依然として保護法とは異なる用語が登場している。
その代表例が「開示対象個人情報」という言葉である。これは、保護法の「保有個人データ」に対応する言葉となっている。しかし、6ヵ月を超えて継続利用するものであることを要するか(保護法の保有個人データ)、それとも要しないか(新JISの開示対象個人情報)、という点で異なっている。このため、違いを明確化して誤解を避ける目的で、新JISでは「開示対象個人情報」という別の言葉が使われた。
また、旧JISとおなじく、「特定の機微な個人情報」という概念も登場している。これらの点については各関係箇所で後述する。
これまでJIS Q 15001が果たしてきた意義の継続
新JISの要求事項には、前述のとおり保護法が定めるルールを確認しただけのものもあるが、これまでJIS Q 15001が果たしてきた意義に照らして、旧JISが定めていた基準を新JISで引き継いだ要求事項もある。
後者の具体例は、個人情報を直接書面取得する際に、本人の同意を要するという原則である。この場合、保護法では本人の同意を要しないことと対照的である。
このように、新JISには、保護法が要求するルールの水準と比較して、いわば「上積み」されている部分がある。
ここに「上積み」というのは、保護法に定められた要求水準を新JISでさらに上乗せして厳しくした部分と、保護法に定められていない事項について新JISが独自の要求事項としている部分とに分けることができる。
マネジメントシステム(PDCAサイクル)の明確化
個人情報を保護しようとする際に、場当たり的な対応だけに終始すると、必ず「穴」が残る。したがって、保護するための手順を確立することが求められる。しかし、保護法は守るべきルールを示したものにすぎず、それを守るための手順まで規定しているわけではない。
そこで、旧JISでは「コンプライアンス・プログラム」と銘打って、個人情報保護のマネジメントシステムを定めていた。
新JISでは、前述のように、文字どおり「マネジメントシステム」という名称となった。
それと同時に、他のISO14000シリーズなどISO系のマネジメントシステムとの整合性を図るため、規定の内容が整備された。具体的には、「ISO Guide72 マネジメントシステム規格の正当性及び作成に関する指針(2001)」に適合した構成とすることにより、これらのマネジメントシステム規格との整合性が図られた。
認証基準としての審査事項の明確化
プライバシーマーク制度は、JIS Q 15001の適合性認証(認定)制度として位置づけられている。そのため、新JISでは認証基準として必要な審査事項の明確化が図られている点で、保護法と異なっている。
具体的には、リスクなどの認識・分析及び対策、個人情報保護マネジメントシステム文書が定められている点などが、これにあたる。
まとめ
保護法は個人情報の取扱いについて最小限度のルールを定めたものにすぎない。個人情報保護を図るためには、各事業者が自主的な取組みによって、保護水準を「上積み」することが求められる。
プライバシーマーク制度の認証基準となる新JISは、同法をベースとして、単に同法の規定を確認するだけでなく、「上積み」となる要求事項として、保護法の義務を上回る対応を求める要求事項と、保護法にない新JIS固有の要求事項を定めている。また、個人情報を保護するための手順は同法では定められていないが、この問題に対する回答を、新JISはマネジメントシステムという形で示している。
できる限り簡潔に整理すると、以上が新JISの全体像となる。
なお、これは筆者が単独で行った整理ではなく、新JISの原案作成委員会に委員として加わり、公式解説書の執筆も担当した鈴木正朝・新潟大学教授と、初心者向けに新JISの解説書籍を共同執筆した際、話し合って整理したものであることを付加しておきたい。
次回から、新JISが定める要求事項の「各論」に入る。
◎関連資料
◆規格詳細情報「JIS Q 15001:2006」(財団法人日本規格協会)
◆個人情報保護法(内閣府)
◆「JIS Q 15001:2006への移行計画」(財団法人日本情報処理開発協会)
◆書籍案内「JIS Q 15001:2006 個人情報保護マネジメントシステム 要求事項の解説」(財団法人日本規格協会)
◆書籍案内「これだけは守りたい Privacyマーク ルールブック」(日経出版販売)
