個人情報保護に関する体制を整備、改善するためのシステム
個人情報の保護に必要な基準を定めたJIS Q 15001は、財団法人日本規格協会(JSA)が発行しているJIS規格です。2006年、従来のJIS Q 15001:1999「個人情報保護に関するコンプライアンス・プログラムの要求事項(1999年制定)」が7年ぶりに大幅に改正され、JIS Q 15001:2006「個人情報保護に関するマネジメントシステム-要求事項」として公表されました。
プライバシーマークの認定を受けるにはJIS Q 15001:2006に準拠した「個人情報保護マネジメントシステム」の構築・運用・監査・見直しが行われていることを申請の条件としています。改正の背景には、旧規格の制定から6年の間に情報技術の発展、個人情報保護の必要性の高まり、それを受けて「個人情報保護法」が施行され、JIS規格を取り巻くこれらの環境に対応する必要があったことなどが挙げられます。
JIS Q 15001:2006では、第三者提供におけるオプトアウト手続き(本人の求めに応じて当該本人の個人データの第三者提供を停止する手続き)や従業者および委託先の監督など、個人情報保護法が採用した考え方を一部取り入れています。ただし、オプトアウト手続きは、法令よりも厳しい要件を課しています。
JIS Q 15001が規定する個人情報保護マネジメントシステムとは、個人情報保護に関する体制を整備し、定められたとおり実行し、定期的に確認を行い、継続的に改善をするための体系的な管理の仕組みを指します。この管理原則は「Plan(計画)」→「Do(実行)」→「Check(確認)」→「Act(見直し)」というPDCAのサイクルを通じて継続的な改善を実施すること(スパイラル・アップ)が重要なポイントとなっています。つまり一度システムを完成させれば良しということではなく、形骸化しない個人情報保護活動を基本としているのです。
プロセス | 内容 | |
Plan | 方針の策定、リスクの特定、資源配分、責任権限の明確化、手順の文書化など | |
Do | 個人情報の適切な取得・利用・権利の保護・提供・管理、従業員の教育など | |
Check | 運用中のチェック、内部監査の実施 | |
Act | 是正・予防の実施、代表者による仕組みの見直し |
要求事項ごとに”手順”の作成が求められていますが、そこでは、いわゆるプロセスマネジメントの考え方にそって具現化していくことを念頭においています。管理手法としてはいろいろあるところですので、業務特性を考慮しながら、創意工夫すべきところといえます。