事業者が業務上取り扱う個人情報を安全で適切に管理するための標準となるべく、財団法人日本規格協会の原案によって策定された日本工業規格の一つ。
個人情報事業の用に供している、あらゆる種類、規模の事業者に適用できる個人情報保護マネジメントシステムに関する要求事項について規定する日本工業規格である。
この規格では、
- 事業者が保有する個人情報を把握し、取得や利用に先立ち個人情報の指す本人から同意を得ること、
- 事業者が個人情報保護指針、個人情報保護のための組織を設けること、
- その体制を定期的に見直し改善すること、そして
- これらを実践するためのシステム(個人情報保護マネジメントシステム)をもつこと
1999年に海外での先例にならって作られた管理システムであり、個人情報保護に関する同様の理念は2005年から全面施行された個人情報保護法でも見ることができる。日本独自の規格であり国際的な整合性は特に考慮されていない。
JIS Q 15001の要求事項を読み解く上では、要求事項ごとに、個人情報保護法と同じ概念か、個人情報保護法に上乗せした概念か、個人情報保護法には全く記載のない概念かを区別しながら眺めることが重要である。
個人情報保護法の全面施行から1年余りを経た2006年5月20日に、当時の実態を踏まえて、同法で導入された概念・用語を盛り込んだ改定が行われた。用語は個人情報保護法の用語に統一された。
プライバシーマーク制度
日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」(国内基準。ただし、韓国・中国と相互承認あり。)に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度。
プライバシーマーク制度の目的は、事業者に社会的な信用を得るためのインセンティブを与えることだけでなく消費者の個人情報の保護に関する意識の向上を図ることにもある。
付与されたプライバシーマークの有効期間は2年であり、取得をは2年ごとの更新の手続きが必要である。
プライバシーマーク付与の対象は、国内に活動拠点を持つ事業者。また、プライバシーマーク付与は、法人単位。
事業者自身による申請書での宣誓と、現地審査時に確認。
ISMS適合性評価制度
情報セキュリティの個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用するもの。
適合性評価基準は、「JIS Q 27001:2006 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム - 要求事項」(国際基準に準拠)である。 2005年10月にISMS認 証 基 準として国 際 規 格ISO/IEC 27001:2005が発行され、これにより国内規格JIS Q 27001:2006が発行されたため、ISMS認証基準をJIS Q 27001:2006とし、これに基づく認証を開始した。
参考
