|
|
|
| プライバシーマークについて 3/6 |
JIS Q 15001:2006 |
|
プライバシーマークは、「JIS Q 15001:個人情報保護マネジメントシステム−要求事項」に基づく個人情報の管理ができていることを証明するものです。
このJIS規格は、我が国の工業標準化法に基づいて日本工業標準調査会の審議を経て、通産省(現経済産業省)が制定したものです。
JIS Q 15001は、その名前の通り、個人情報を保護するための「マネジメントシステム」です。定義の中では「事業者が自ら保有する個人情報を保護するための方針、組織、計画、実施、監査及び見直しを含むマネジメントシステム」と書かれています。
「マネジメントシステム」とは、「事業者が、ある目的に向かって、組織的に、計画的に、継続的に、効果的に、行動する仕組み」であろうと思います。
マネジメントシステムにおける概念モデルとしてよく次のような図が示されます。
まずは「方針」を定めること。その後、その方針を実現するための「計画(Plan)」を策定、「実施(Do)」し、状況を「監査(Check)」、必要があれば「見直し(Action)」を行なう。このコンプライアンス・プログラムの理念として「Plan-Do-Check-Action」を継続的に繰り返すことが不可欠であることを示しています。
プライバシーマークの使用を許諾を得るには、このJIS規格に基づいた個人情報管理システムを構築しなければなりません。
このJIS規格には下記見出しの極めて基本的なことしか書かれていません。
具体的な要求事項は3.1〜3.9で示され、たかだかA4サイズで10ページしかありません。
詳細の運営に関しては、各企業の状況に応じて定めていく必要があるのです。
JIS Q 15001(見出し抜粋)
|
| 1 |
適用範囲 |
|
|
| 2 |
用語および定義 |
|
|
| 3 |
要求事項 |
|
|
| 3.1 |
一般要求事項 |
|
|
| 3.2 |
個人情報保護方針 |
|
|
| 3.3 |
計画
個人情報の特定、リスクなどの認識、分析及び対策
法令、国が定める指針その他の規範
資源、役割、責任及び権限
緊急事態への準備 など |
|
Plan |
| 3.4 |
実施及び運用
利用目的の特定、適正な取得
特定の機微な個人情報の取得、利用及び提供の制限
本人から直接書面によって取得する場合の措置
利用に関する措置、提供に関する措置
正確性の確保、安全管理措置
従業員の監督、委託先の監督
開示等の求めに応じる手続き
教育 など |
|
Do |
| 3.5 |
個人情報保護マネジメントシステム文書
文書管理、記録の管理 など |
| 3.6 |
苦情及び相談への対応 |
| 3.7 |
点検
運用の確認、監査 |
|
Check |
| 3.8 |
是正処置及び予防処置 |
|
Action |
| 3.9 |
事業者の代表者による見直し |
|
例えば、個人情報の漏えい等を防ぐための安全対策・セキュリティー対策については「3.4.3.2 安全管理措置」として、「事業者は、その取り扱う個人情報のリスクに応じて、漏えい、滅失またはき損の防止その他の個人情報の安全管理のために必要、かつ、適切な措置を講じなければならない。」としか書かれていません。
具体的にどのような安全対策を実施すれば良いかなどと言ったことはどこにも書かれていません。
個人情報のリスクを明確にして、リスクに応じたレベルの安全管理を、れれぞれで考え実施していく必要があるのです。ぞれの要求事項を理解し、要求を満たすための手順を定め、それらを文書化し、また、それらの文書が「管理」に値する手順を定めて扱う必要があります。
全てが、事業者が判断して定めるのですが、これが客観的に見て適切である必要があるのです。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
JIS Q 15001は(財)日本規格協会(http://www.jsa.or.jp/)で購入することができます。
==========================
プライバシーマークに関する詳細は
(財)日本情報処理開発協会
プライバシーマーク事務局のホームページをご覧下さい。
http://privacymark.jp/
==========================
|
|
|
