JIS Q 15001(個人情報保護マネジメントシステム-要求事項)は、個人情報保護マネジメントシステムに関する要求事項について規定したものです。個人情報保護法との整合性がとれています。
その構成は次の通りです。
3 要求事項
3.1 一般要求事項
3.2 個人情報保護方針
3.3 計画
「個人情報の特定」「法令、国が定める指針その他の規範」
「リスクなどの認識、分析及び対策」「緊急事態への準備」など
3.4 実施及び運用
「運用準備」「取得,利用及び提供に関する原則」「適正管理」
「個人情報に関する本人の権利」「教育」
3.5 個人情報保護マネジメントシステム文書
3.6 苦情及び相談への対応
3.7 点検
3.8 是正処置及び予防処置
3.9 事業者の代表者による見直し
個人情報保護方針
「個人情報保護方針事業者の代表者は,個人情報保護の理念を明確にした上で,次の事項を含む個人情報保護方針を定めるとともに,これを実行し維持しなければならない。」としています。
- a) 事業の内容及び規模を考慮した適切な個人情報の取得,利用及び提供に関すること(特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(以下,“目的外利用”という。)を行わないこと及びそのための措置を講じることを含む。)。
- b) 個人情報への不正アクセス,個人情報の漏えい,滅失又はき損の防止並びに是正に関すること。
- c) 苦情対応に関すること。
- d) 個人情報の取扱いに関する法令,国が定める指針及びその他の規範を遵守すること。
- e) 個人情報保護マネジメントシステムの継続的改善に関すること。
- f) 代表者の氏名
プライバシーマーク
個人情報保護法と整合性を持つJIS規格JIS Q 15001(個人情報保護マネジメントシステム-要求事項)について、組織がこの規格にそった体制を整備し実践しているかを第三者認証するのが、プライバシーマーク制度です。
日本情報経済社会推進協会(JIPDEC)「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン【第2版】」
http://privacymark.jp/reference/pdf/guideline_V2.0_140114.pdf
審査に合格すると、右図のプライバシーマークを会社内に掲示したり、Webページに表示したりできます。それにより、法律への適合性はもちろんのこと、自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることをアピールできます。特に、BtoCサイトのように、個人情報を入力させるページでは、このマークがあることにより、利用者の信頼を得ることができます。
個人情報保護法は法律遵守という最低限のレベルを規定したものであり,それ以上に実務で実践しており,さらに向上に努めていることを示すのがプライバシーマーク制度だと理解するのが適切です。