最近になって約7年ぶりに全面改正された新JIS Q 15001について、前々回は「プライバシーマーク制度の新JISへの移行計画」、前回は「改正のポイント」について解説した。それに続いて「各論」に入る。まず今回は「新JISの全体像と適用範囲」である。
新JISの構成
最初に、新JIS(JIS Q 15001:2006)について全体の構成を説明する。
新JISは次の3つのパートに大別されている。
| 要求事項 | 表 題 |
|---|---|
| 1 | 適用範囲 |
| 2 | 用語及び定義 |
| 3 | 要求事項 |
新JIS全体が「要求事項」と呼ばれており、各要求事項は法令であれば「条文」に相当する。新JIS全体を広義の要求事項と呼ぶとすると、「要求事項3」の部分は狭義の要求事項となる。
このうち今回は「適用範囲」(要求事項1)について説明する。
適用範囲(要求事項1)
要求事項1には、新JISの「適用範囲」は特に限定されておらず、あらゆる事業者に適用が可能である旨が明記されている。
この適用範囲の項目には、新JISが適用される4つの場面も記載されている。これをやや平易な言葉に置き換えると、次のとおりになる。
| (1) 自らマネジメントシステムを確立・実施・維持・改善すること |
| (2) 適合性を自ら確認して表明すること(第一者評価認証) |
| (3) 消費者など組織外部・本人に適合性の確認を求めること(第二者評価認証) |
| (4) プライバシーマーク制度など外部機関による認証・登録を求めること(第三者評価認証) |
マネジメントシステム
まず、(1)は、JIS Q 15001が「マネジメントシステム」という性格のものであることに照らせば当然のことである。
一般に、マネジメントシステムとは、基本方針の下に「計画(Plan)」「実施及び運用(Do)」「点検(Check)」「是正(Act)」というプロセスを繰り返すこと(PDCAサイクル)によって、継続的な改善を目指そうとする仕組みである。
新JISは、「個人情報保護マネジメントシステム」を、「事業者が、自らの事業の用に供する個人情報について、その有用性を配慮しつつ、個人の権利利益を保護するための方針、体制、計画、実施、点検及び見直しを含むマネジメントシステム」と定義している(要求事項2.7参照)。
ちなみに、ISO9000シリーズや14000シリーズを取得している企業向けに、著者がJIS Q 15001の「コンプライアンス・プログラム」(旧JIS)「マネジメントシステム」(新JIS)を説明する場合には、くどくど下手に説明するよりも、「ISO9000シリーズなどとおなじPDCAサイクルを用いたマネジメントシステムの個人情報保護版」と説明する方が、早く理解してもらえることが多いと感じられた。なお、プライバシーマークについては、「マル適マーク」の個人情報保護版と説明している。
IT関係の国際規格でマネジメントシステムを採用したものとして、
ISO/IEC 27001:2005は、技術内容及び構成を変更することなく、わが国へとローカライズされ、2006年5月に、JIS Q 27001:2005として国内規格化された。規格名称は「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項」である。
なお、あわせて従来のJIS X 5080 (BS 7799 Part.1を国際規格化したISO/IEC 17799 :2000を、さらに日本工業規格化したもの)に代えて、 ISO/IEC 17799:2005を日本工業規格化したJIS Q 27002:2005(情報技術―セキュリティ技術―情報セキュリティマネジメントの実践のための規範)も制定されている。
わが国のISMS認証基準は、財団法人日本情報処理開発協会(JIPDEC)によって運営されてきた。これまでJIS X 5080:2002を引用規格としていたが、JIS Q 27001:2005の発行に伴って、認証基準をJIS Q 27001へと移行し、引用規格もJIS Q 27002:2005へと変更することとなった。
こうしてみると、今やITの世界でもマネジメントシステムのための国際規格・国内規格が、関連法令とともに重要な地位を占めていることが分かる。したがって、こうした国際規格・国内規格を熟知しているということは、SEにとって今後、大きなアドバンテージになるはずである。なかでも、プライバシーマークは現に数千社の企業が採用しているものである以上、きちんとJIS Q 15001を理解しておくことが大切である。
まして、プライバシーマーク取得企業のなかで、情報サービス産業に属する企業が占める割合はきわめて高い。
自社がプライバシーマークを取得したことをWebページや名刺などにマークを付けることによって外部にアピールしながら、所属するSEがJIS Q 15001の内容を「知らなかった」では許されないはずだ。
3種類の評価認証
前述した適用場面(1)のとおり、企業が自社の個人情報保護を十分なものとするためには、JIS Q 15001が定めるマネジメントシステムを導入することそのものが有用であるが、さらにJIS Q 15001では、適用場面(2)以下のような「評価認証」への利用が想定されている。
ここにいう3種類の「評価認証」については、おそらく言葉そのものを聞き慣れない人も少なくないはずである。このため、簡単に説明すると、次のような意味となる。
まず、(2)の「第一者評価認証」とは、「適合性を自ら確認して表明すること」であり、自社のWebページなどで「当社はJIS Q 15001:2006に対応しています」と宣言するようなケースのことを指している。
次に、(3)の「第二者評価認証」とは、消費者に適合性をチェックしてもらったり、取引先との間でJIS Q 15001:2006への適合性を契約条件とする委託契約を締結したうえ、本当に適合しているかどうかについて、当該取引先の査察を受け入れて確認してもらうようなケースである。
しかし、単に「第一者評価認証」を行ったというだけでは客観性に乏しいことが多く、どの程度、外部から十分な信用を得られるか、疑問が残らざるをえない。
「第二者評価認証」にしても、実際に、どのように実施していいかを考えると難しい。さらに、親会社であればともかく、いくら取引先といっても、あかの他人であって、しかも利害関係のある取引先企業による査察を受け入れることについては、機密保持などの点で躊躇を感じる企業が存在しても当然と思われる。
これらの難点をクリアしやすいのが、(4)の「第三者評価認証」である。そして、「第三者評価認証」の制度として実際に運用されているのが「プライバシーマーク制度」、という位置づけとなる。
保護法そのものには「第三者評価認証」は用意されていないので、それに代わってJIS Q 15001:2006とプライバシーマーク制度が補完することになる。
以上が、「要求事項1」についてのポイントである。
次回は、「用語及び定義(要求事項2)」のポイントについて説明する。
◎関連資料
◆規格詳細情報「JIS Q 15001:2006」(財団法人日本規格協会)
◆個人情報保護法(内閣府)
◆規格詳細情報「ISO/IEC 27001:2005」(財団法人日本規格協会)
◆規格詳細情報「ISO/IEC 17799:2005」(財団法人日本規格協会)
◆書籍案内「JIS Q 15001:2006 個人情報保護マネジメントシステム 要求事項の解説」(財団法人日本規格協会)
◆書籍案内「これだけは守りたい Privacyマーク ルールブック」(日経出版販売)
