約7年ぶりに改正された新JIS Q 15001について、このコラムではシリーズで解説を続けてきた。前回の「要求事項2」に続き、今回から「要求事項3」の解説に入る。
「要求事項3」の構造
このコラムでは、新JIS Q 15001についてシリーズとして解説してきた。 新JISが定める内容は、下記の表のとおり「適用範囲」「用語及び定義」「要求事項」という3つのパートに大別できる。
このうち、前々回は要求事項1「適用範囲」、前回は要求事項2「用語及び定義」について解説した。残された「要求事項3」(下の表の黄色部分)が、いわば新JISの本体となる部分である。テーマの性格上、専門的な話になることを、あらかじめお許し願いたい。
| 要求事項 | 表 題 |
|---|---|
| 1 | 適用範囲 |
| 2 | 用語及び定義 |
| 3 | 要求事項 |
さて、「要求事項3」の部分は、次のとおり、さらに9つの細目から構成されている。
個人情報保護法(保護法)と比べて、新JISはかなり細部に至るまで要求事項を定めている。これに対し、本稿の性格上、掲載できる分量に限りがあるので、詳細を解説することができない。したがって、詳細については専門書に委ね、以下の解説は、ポイントとなる事項にとどまらざるをえないことを、あらかじめご容赦願いたい。
| 要求事項 | 表 題 | PDCAとの対応関係 |
|---|---|---|
| 3.1 | 一般要求事項 | Plan |
| 3.2 | 個人情報保護方針 | |
| 3.3 | 計 画 | |
| 3.4 | 実施及び運用 | Do |
| 3.5 | 個人情報保護マネジメントシステム文書 | |
| 3.6 | 苦情及び相談への対応 | |
| 3.7 | 点 検 | Check |
| 3.8 | 是正処置及び予防処置 | |
| 3.9 | 事業者の代表者による見直し | Act |
一般要求事項(要求事項3.1)
「要求事項3」の冒頭に置かれた「一般要求事項」(要求事項3.1)では、「個人情報保護マネジメントシステム」の確立、実施、維持、改善を謳っている。
一般にマネジメントシステムとは、基本方針の下に「計画(Plan)」「実施及び運用(Do)」「点検(Check)」「是正(Act)」というプロセスを繰り返すこと(PDCAサイクル)によって、継続的な改善を目指そうとするものである。
新JISが「個人情報保護マネジメントシステム」について、適用範囲(要求事項1)で触れたうえ、その意味について定義規定を置いていること(要求事項2.7)は、すでに第3回解説で述べた。
これに伴い、「要求事項3」の各項目もPDCAの順に並べられている。新JIS公式解説書籍「JIS Q 15001:2006 個人情報保護マネジメントシステム 要求事項の解説」の分類によるPDCAとの具体的な対応関係は、上の表に記載したとおりとなる。
次に、これら9つの細目で示された要求事項を個人情報保護法(保護法)との関係から見ると、前回も述べたように、次の3類型に分類することができる。
この分類は、新JIS公式解説書の考え方をベースに、鈴木正朝・新潟大学教授と社内教育用テキスト「Privacyマーク ルールブック」で整理した分類に従っている。本稿では、それぞれ「確認事項」「付加事項」「固有事項」と呼ぶことにする。
| 保護法との関係-新JIS要求事項の分類 | |
|---|---|
| (1) 保護法の義務を新JISで確認したにとどまる要求事項 | 確認事項 |
| (2) 保護法の義務を上回る対応を新JISで上乗せ(付加)した要求事項 | 付加事項 |
| (3) 保護法に定められていない事項について新JISが独自に固有の要求事項としているもの | 固有事項 |
この3類型と各要求事項の具体的な対応関係は、それぞれの箇所で述べる。
なお、保護法については中央省庁が個別分野ごとのガイドラインを策定しており、当該ガイドラインにも「付加事項」「固有事項」が記載されていることが多い。 企業が主務官庁のガイドラインにも準拠することを自社の個人情報保護方針で表明しているような場合、下の図のように、新JISと当該ガイドラインの双方が求めている条件を満たす必要があることに注意しなければならない。
個人情報保護方針(要求事項3.2)まず、マネジメントシステムの基本方針となる「個人情報保護方針」が規定されている。 これは保護法には規定されておらず、下記のとおり、保護法に基づく政府の「個人情報の保護に関する基本方針」に登場するにとどまっている。個人情報保護方針は、その意味では、新JISが独自に要求する固有事項にあたる。 個人情報の保護に関する基本方針(平成16年4月2日閣議決定)抜粋6 個人情報取扱事業者等が講ずべき個人情報の保護のための措置に関する基本的な事項
(1) 個人情報取扱事業者に関する事項
[以下省略]
|
の各省庁のガイドライン等に則し、個人情報の保護について主体的に取り組むことが期待されているところであり、事業者は、法の全面施行に向けて、体制の整備等に積極的に取り組んでいくことが求められている。各省庁等におけるガイドライン等の検討及び各事業者の取組に当たっては、特に以下の点が重要であると考えられる。
前述の新JIS公式解説書籍によると、新JISにおける個人情報保護方針はPDCAの「P」(Plan-計画)に分類されている。しかし、その性格に照らすと、むしろPDCAの前提となるものとして分類されるべきではないか、意見が分かれるところだろう。
新JISの要求事項3.2は、個人情報保護の理念を明確にした上で、次の事項を含めた個人情報保護方針を制定、実行、維持し、これを代表者は文書化(電磁的記録化を含む)、従業者への周知、一般人が入手可能な措置を講じるべきことを求めている。 新JISが求める個人情報保護方針の記載事項を、政府の基本方針と対比する形で下の表にまとめておいた。
なお、個別分野ごとの中央省庁のガイドラインのなかには、個人情報保護方針の記載事項について言及しているものがある(具体例として電気通信事業ガイドライン14条の解説箇所参照)。そうしたガイドラインに準拠することを表明している企業の場合、当該ガイドラインが求める記載事項を満たしているかどうか、チェックしておくことが必要となる。
| 個人情報保護方針の記載事項 | |
|---|---|
| 新JIS | 個人情報の保護に関する基本方針 |
| a) 事業の内容・規模を考慮した適切な個人情報の取得、利用及び提供に関すること(特定された利用目的の達成に必要な範囲を超えた個人情報の取扱いを行わないこと及びそのための措置を講じることを含む。)。 | 個人情報を目的外に利用しないこと・・・・等を宣言・・・・利用目的の通知・公表、開示等の個人情報の取扱いに関する諸手続 |
| b) 個人情報の漏えい、滅失又はき損の防止及び是正に関すること。 | 個人情報の取扱いに関する諸手続 |
| c) 苦情及び相談への対応に関すること。 | 苦情処理に適切に取り組むこと等 |
| d) 個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守すること。 | 事業者が関係法令等を遵守 |
| e) 個人情報保護マネジメントシステムの継続的改善に関すること。 | |
| f) 代表者の氏名 | |
新JISが求める「従業者への周知」とは、イントラネットへの掲載などの方策を講じることを、「一般人が入手可能な措置」とは自社サイトのトップページからリンクを張って掲載する、パンフレットにして配布可能にするなどの方策を講じることを、それぞれ意味している。
なお、文書化された個人情報保護方針は、後述の「文書の範囲」(要求事項3.5.1)に該当し、「文書管理」(要求事項3.5.2)の対象となる。
保護法に基づく政府の「個人情報の保護に関する基本方針」が個人情報保護方針の記載事項として求める事項と比較すると、上の表のとおり、新JISの要求事項の方が、項目数が多く、かつ具体的である。しかも、新JISの要求事項の方が、保護法で定められた義務よりも内容が重い。したがって、新JISに基づく個人情報保護方針を策定することによって、基本方針が求める個人情報保護方針の内容をクリアすることができる。
しかし、保護法は、別途、公表すべき事項を法定している(保護法18条1項、24条1項など)。したがって、この個人情報保護方針とあわせて、この法定公表事項を自社サイトなどに掲載すべきこととなる。
◎関連資料
◆規格詳細情報「JIS Q 15001:2006」(財団法人日本規格協会)
◆個人情報保護法(内閣府)
◆個別分野ごとのガイドライン(内閣府)
◆個人情報の保護に関する基本方針(内閣府)
◆「JIS Q 15001:2006への移行計画」(財団法人日本情報処理開発協会)
◆書籍案内「JIS Q 15001:2006 個人情報保護マネジメントシステム 要求事項の解説」(財団法人日本規格協会)
◆書籍案内「これだけは守りたい Privacyマーク ルールブック」(日経出版販売)
