約7年ぶりに改正された新JIS Q 15001について、このコラムではシリーズで解説を続けてきた。前回に続いて「要求事項3」を解説する。今回は「計画」(要求事項3.3)である。

計画(要求事項3.3)

 「計画」(要求事項3.3)は、PDCAの「P」(Plan-計画)に分類される事項である。なお、要求事項3の全体像は前回の解説を参照されたい。

 要求事項3.3は、さらに7つのパートに細分化されている。すべて、個人情報保護法(保護法)そのものには定められていない事項であるから、JISが独自に要求する固有事項となる。

 最初に要求事項3.3の全体像を示す。次の表のとおりである。

計画(要求事項3.3)の構成
要求事項 表 題
3.3.1 個人情報の特定
3.3.2 法令、国が定める指針その他の規範
3.3.3 リスクなどの認識、分析及び対策
3.3.4 資源、役割、責任及び権限
3.3.5 内部規程
3.3.6 計画書
3.3.7 緊急事態への準備

要求事項3.3.1から3.3.4

 個人情報保護の第一歩として、対象となる個人情報(自らの事業の用に供する個人情報)と、個人情報の取扱いに関する法令その他の規範を特定しておくことを要し、特に法令その他の規範は社内で参照することも可能にしておく必要がある。これこそ、すべての従業者にとって、「知らなかった」では許されないからだ。

 業務内容が変われば、扱う個人情報も変わることになるし、法令なども改廃されることがある。そのため、単に特定・参照するだけでは足りず、特定・参照のための「手順」を確立・維持しなければならないと定めている(要求事項3.3.1・3.3.2)。

 かくして特定した個人情報について、目的外利用を行わないため、また、取扱いの各局面における漏えいなどのリスクを認識・分析して、対策を立てておくことが必要となり、ここでも変化に即した対策ができるように、手順の確立・維持が必要であると定められている。以上が、要求事項3.3.3である。

 このようにJIS Q 15001では「手順の確立・維持」がキーワードとなる。

 「資源、役割、責任及び権限」(要求事項3.3.4)は、マネジメントシステムに要する資源を、事業者の代表者が用意すべきことを定める。

 ここに「資源」とはリソースの意味であり、具体的にはヒト(要員)、モノ(備品など)、カネ(予算)である。

 ヒト(要員)――つまり人的リソース――については、役割、責任及び権限を定め、文書化する必要がある。従業者にも周知しなければならない。 ヒト(要員)の中心は「個人情報保護管理者」であるから、その資格・役割などについても3.3.4で詳しく定められている。

内部規程(要求事項3.3.5)

 「内部規程」(要求事項3.3.5)の箇所では、内部規程の文書化と、その維持が求められている。ここでは「文書化」と、その「維持」がキーワードとされている。

 内部規程に盛り込むべき事項も、下の表のとおり、a) からo) まで合計15項目が具体的に記載されている。自社の内部規程に「穴」がないかどうか、確認しておく必要がある。なお、m) では「処置」という言葉が使われている。これはJIS特有の言い回しであり、通常の法令用語にいう「措置」という意味であると理解して差し支えない。

内部規程に盛り込むべき事項(要求事項3.3.5)
事  項
 a) 個人情報を特定する手順に関する規定
 b) 法令、国が定める指針その他の規範の特定、参照及び維持に関する規定
 c) 個人情報に関するリスクの認識、分析及び対策の手順に関する規定
 d) 事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定
 e) 緊急事態(個人情報が漏えい、滅失又はき損をした場合)への準備及び対応に関する規定
 f) 個人情報の取得、利用及び提供に関する規定
 g) 個人情報の適正管理に関する規定
 h) 本人からの開示等の求めへの対応に関する規定
 i) 教育に関する規定
 j) 個人情報保護マネジメントシステム文書の管理に関する規定
 k) 苦情及び相談への対応に関する規定
 l) 点検に関する規定
 m) 是正処置及び予防処置に関する規定
 n) 代表者による見直しに関する規定
 o) 内部規程の違反に関する罰則の規定

計画書(要求事項3.3.6)

 「計画書」(要求事項3.3.6)では「教育」と「監査」が例示されている。それぞれ前記3.3.5の「内部規程」に定められた教育規程、監査規程に基づいて、「年間計画書」といった形で作成する。

 「教育」については要求事項3.4.5、「監査」については要求事項3.7.2が、それぞれ別途定めている。また、「JIS Q 15001:2006 個人情報保護マネジメントシステム 要求事項の解説」によれば、要求事項3.5.3(記録の管理)に基づいて作成・維持を要する「記録」には教育実施記録や監査報告書が含まれている。

緊急事態への準備(3.3.7)

 最後に「緊急事態への準備」(3.3.7)は、漏えいなど緊急事態が発生した場合に備えて、本人への通知など、公表、関係機関への報告を含めて、事態への対応を定めている。

 ここでも、平時から緊急事態に備えておくため、緊急事態の特定手順・対応手順の確立、実施、維持が求められている。これらの事項は要求事項3.3.5のe) で「内部規程」に盛り込むべき事項とされている。対応手順には、下の表に記載した事項などを盛り込む必要がある。

対応手順に盛り込むべき事項(要求事項3.3.7)
事  項
 a) 本人への速やかな通知又は本人が容易に知り得る状態に置く。
 b) 可能な限り事実関係、発生原因及び対応策を、遅滞なく公表。
 c) 事実関係、発生原因及び対応策を関係機関に直ちに報告。
*ただし盛り込むべき事項は上記に尽きない。

 以上の事項は、基本的には保護法に関する各省庁のガイドラインが求める緊急事態への対応と、ほぼ同一である。詳細は、本コラムの「情報漏洩事故の公表を求める『政府の基本方針』、対象は民間だけでいいのか」を参照されたい。 次回は要求事項「実施及び運用」(3.4)について解説する。


◎関連資料
規格詳細情報「JIS Q 15001:2006」(財団法人日本規格協会)
個人情報保護法(内閣府)
個別分野ごとのガイドライン(内閣府)
書籍案内「JIS Q 15001:2006 個人情報保護マネジメントシステム 要求事項の解説」(財団法人日本規格協会)
書籍案内「これだけは守りたい Privacyマーク ルールブック」(日経出版販売)