プライバシーマーク(JISQ15001)とは何か?わかりやすく簡単に説明
投稿日:2018年7月25日 最終更新日:2023年5月12日
こんにちは。ISOコム通信にアクセスしていただきありがとうございます。
今回のテーマは、
“プライバシーマーク(JISQ15001)とは何か?わかりやすく簡単に説明”です。
ISOの認証取得・更新・スリム化の支援はお任せ下さい!
- 東京
- 大阪
- 名古屋
- 神戸
- 福岡
プライバシーマークを一言で言うと、
個人情報を扱って事業を行う会社や組織に対して、個人情報を持つ人(以下“本人という”)が、
自分の個人情報(名前、住所、電話番号、貯金額、病歴や保険加入状況等・・・)を預けて
いいかどうかを、審査機関が本人の代わりに、確認して合格したらマークを与える。
つまり、プライバシーマークを持っている会社や団体なら、自分の個人情報を預けてもいいね!
と安心してもらうための制度といえるかと思います。
プライバシーマークの規格である、JISQ15001及び個人情報保護マネジメントシステムに関して、少し詳しく説明しますと・・・
1.プライバシーマーク(JISQ15001)とは何か
個人情報保護の必要性は、徐々に定着してきていますが、意外とその歴史などは知られていないと思います。
昔からプライバシーの保護を言われていましたが、多少異なります。
現在の個人情報保護の動きは、欧米に合わせたものですが、2017年5月の個人情報保護法が改訂され、より厳しいものとなっています。
しかし、実務で行っている内容が、個人情報保護法に合っているかどうかは、自分たちではわかりにくい点もありますが、プライバシーマークを受けていれば、問題があるかどうかを審査機関が、判定してくれます。
プライバシーマークの審査では、法律違反までを指摘をしてはいけないことになっていますが、かなり個人情報保護の内容とJIS規格の内容が近くなっておりますので、不備な点はかなりわかると思います。
これが、プライバシーマークを持っているメリットの一つです。
ただし、2017年に改訂された規格では、個人情報保護法を前提にしているので、番号法などに関しての不備に対しては、今後の取り扱いは明確ではありません。
2.個人情報保護に関する規格などの歴史について
プライバシーマーク(JISQ15001)に関してまとめる前に、この目的である個人情報保護に関する規格の歴史を復習してみましょう。
25年くらい前には、同窓会名簿などの作成が普通でした。
特に高校や大学の同窓会名簿には、勤務先などがあり、記載されていたことにより、仕事の関係などで連絡を取る場合には非常に便利でした。
当然、その名簿の内容は、お互いのためだけではなくセールスプロモーション(拡販)などのために利用可能であり、受取人にとって不要なダイレクトメールなどの乱発につながっていきます。
そのために、違法な方法で名簿データを入手し、販売するような輩も出てきました。
一方、ヨーロッパでは昔から、個人情報の保護も含んだ個人の権利を守ることが普通になっていましたが、それらを発展させ日本も加盟しているOECDで「プライバシー保護と個人データの国際流通についてのガイドライン」(通称「OECDプライバシーガイドライン」)が採択されました。
その中で、以下の8原則が公表されています。
①収集制限の原則
個人データを集める時には、法律にのっとり、また公正な手段で、本人に通知または同意を得て集めるべきである。
②データ内容の原則
個人データの内容は、利用の目的に沿ったもので、かつ正確、完全、最新であるべきである。
③目的明確化の原則
個人データを集める目的を明確にし、データを利用する時は集めたときのものと合っているべきである。
④利用制限の原則
本人の同意がある場合、もしくは法律の規定がある場合を除いては、集めたデータを目的以外のために利用してはならない。
⑤安全保護の原則
合理的な安全保護の措置によって、紛失や破壊、使用、改ざん、漏えいなどから保護すべきである。
⑥公開の原則
個人データを集める方針などを公開し、データの存在やその利用目的、管理者などを明確に示すべきである。
⑦個人参加の原則
本人が、自分に関するデータの所在やその内容を確認できるとともに、異議を申し立てることを保証すべきである。
⑧責任の原則
個人データの管理者は、これらの諸原則を実施する上での責任を持つべきである。
これらの原則は、当然日本国内でも順守すべき内容でしたが、すぐには展開されず、1995年に欧州連合で「EU諸国と同等の十分なレベルの保護措置を講じない第三国への個人データ移転禁止」が決議されて、日本でも対応が必要になりました。
これに対応し、1999年に策定されたのがJISQ15001:1999「個人情報保護に関するコンプライアンス・プログラムの要求事項」です。
また、その内容に従って、個人情報の保護をしていることを第三者が証明するプライバシーマークが作られ、1999年中に約90社が認定を受けました。
昔から個人情報保護に携わっている方が、「個人情報保護マネジメントシステム」(略、PMS)と言わずに「コンプライアンス・プログラム」(略称、CP)と呼ばれるのはこのためと思います。
なお、JISQ15001に基づく第三者認定は、経済産業省の外郭団体である、一般財団法人日本情報経済社会推進協会(JIPDEC)が運営するプライバシーマークである必要はなく、当初は他にもありましたが、淘汰され一般的にはプライバシーマークだけが機能しています。
また、社労士事務所では、独自の制度“SRPⅡ認証制度”などを運用しています。
その後、2003年(平成15年)に「個人情報保護法」が制定されたことにより、この内容を反映し、JIS規格が改訂され、2016年5月にJISQ15001:2006「個人情報保護マネジメントシステム-要求事項」になりました。
さらに、2017年に「改正個人情報保護法」が全面施行され、その内容を反映したJISQ15001:2017「個人情報保護マネジメントシステム-要求事項」が2017年12月に発行されました。
ちなみに、1999年版にJISQ15001に利用されている用語は、OECDの8原則の内容に近く、2006年版のJISQ15001では個人情報保護法の用語に修正していることがわかります。
2017年版の用語は、2006年版の用語を引き続いています。
一部に、改正個人情報保護法や2017年版JISQ15001ではEUの要求を満たしていないとの意見が根強く残っていました。
しかし、EUは「EU一般データ保護規則」(GDPR)の運用が開始されており、もっと厳しくなっていることはご存知の通りです。
