JIS Q 15001とプライバシーマークの関係

2018年11月26日

こんにちは。ＩＳＯコム通信にアクセスしていただきありがとうございます。

当社のISOコンサル実績はこちら

はじめに

たまに、「あの会社は9001の認証を受けているから大丈夫。」とか「ISO14001を取得している会社だから、・・・」とかいう会話を聞いたことはありませんか？
また、カタログや看板に記載されていることもあります。

これは国際標準の規格であるISO9001（品質マネジメントシステム）やISO140001（環境マネジメントシステム）に対応していることを第三者の審査機関が認めた会社や組織であることを示しています。

これらは、資格の略称名であるQMS、EMSの認証を受けているとも表現することもあります。

ところで、プライバシーマークはJISQ15001に基づいて個人情報の取扱いを行っていることを、第三者の審査機関が認めた会社や組織に付与されるものですが、15001の認証を受けているとかPMS（個人情報保護マネジメントシステム）を取得しているとは言いません。

なぜでしょうか？

今回は“JIS Q 15001とプライバシーマークの関係”について考えてみたいと思います。

JISQ15001とは

まずはJISQ15001が制定された様子を復習してみましょう。

JISQ15001は、日本で定められた個人情報保護のための規格です。

欧米では？

ヨーロッパやアメリカなどでは、昔からプライバシーを尊重する傾向が強く、その延長上に個人情報の取扱いに関する指針である1980年に公表されたOECDの8原則があります。

EU（欧州連合）の構成国では、これに対応した形で法律が準備されていきます。

例えばドイツでは “連邦データ保護法”、イギリスでは“データ保護法”、フランスでは“情報処理・データと自由に関する法律”などがこれにあたります。

特にフランスの“情報処理・データと自由に関する法律”は1978年に制定されており、なぜか“さすがフランス”と思える状況です。

EUでは、次ステップとして、個人情報の保護をしっかりと行っていない国々とは、個人情報の授受をしないことを決めました。この内容が発展して2018年5月に施行されたGDPR（EU一般データ保護規則）になりました。

当然EUに所属する国々では、これらに対応すべく準備を進めていましたので問題はありませんが、EUは日本や米国にも同等の内容を求めてきました。

米国はもともと「1974年プライバシー法」（1974年改正）がありましたので、これと各州で定めた法律で対応することで認められました。

日本では？

一方日本では、個人情報の保護の概念はなく、個人情報で商売ができることに気が付いた名簿屋さんなどが活躍している時代でした。当然、EUは日本に向けて、チクリチクリと脅しをかけてきますので、法令は無理でも、とにかく対応せねばいけなくなり出来たのがJISQ15001:1999です。

しかし、EU側は不満です。EUの主要国やアメリカは法令で定めていますから、罰則の有無はともかく実施する義務が生じます。一方JIS規格は守る義務は生じませんから、EUからのチクリチクリは止まりません。

このころ、日本国内では住基ネット（住民基本台帳のネットワーク）の構築にあたり、住基ネットで利用される情報（住民票などの個人情報のカタマリ）の保護、すなわち個人情報の保護の必要が叫ばれるようになり、これらも考慮の上で、2003年に「個人情報保護法」が制定されます。

なお、この「個人情報保護法」はEUの専門家を満足させるものではなく、チクリチクリがチクリになった程度だと聞いています。

また、JISQ15001:1999は原則としてOECDの8原則を意識した内容になっており、使用している用語もその翻訳した内容と同じようになっています。

一方、個人情報保護法はかなり日本の状況が組み込まれたものになっており、JISQ15001:1999とは整合していない部分が出来てしまいましたので、JISQ15001の方が改訂されJISQ15001:2006になります。その時一部の用語も変更されました。

この時点では、JISQ15001:2006の方が厳しく、「個人情報保護法」の不足部分を補う形になっていました。
しかし、まだ「個人情報保護法」はEUの要求に十分答えていないこと、個人情報保護法の拡大解釈で一部の業務に影響が出始めていることや、実際に発生した個人情報に関する事故への予防策も必要なことから、改正「個人情報保護法」に改訂されました。改正「個人情報保護法」では罰則も明確になるなど、逆にJISQ15001:2006より厳しくなってしまいましたので、それに合わせてJIS規格も改訂し、JISQ15001:2017に改訂されました。

※JISQ15001の2017年度版のポイントについてはこちらの記事をご覧ください。

JISQ15001改正のポイント

JIS Q 15001とプライバシーマークの関係

さて、もともとの“お題”に戻りましょう。

JISQ15001と個人情報保護法の成り立ちについて説明してきましたが、プライバシーマークとは“全然関係ないじゃん”と思われた方も多いと思います。

しかし、この成り立ちがISOの他の規格と違って、“15001の認定を取得している。”などの表現を使われない理由の一つと思います。

他のISO規格は世界中で同じ規格で、認定を受けた場合に利用が許可されるロゴマークには、規格の認証機関名と規格の番号が記載されています。

このため、世界中のだれが見ても取得している規格が分かる様になっています。

一方、日本の個人情報保護法やJISQ15001は日本固有の法令や規格ですから、ISO規格とは同じに扱えません。

さらに大きな理由があります。

プライバシーマーク制度は、通商産業省（現、経済産業省）の指導のもと、財団法人日本情報処理開発協会（JIPDEC、現在は一般財団法人日本情報経済社会推進協会に改称）が1998年4月より運用を開始した、事業者が個人情報の取扱いを適切に行う体制等を整備していることを評価し、合格した場合に“プライバシーマーク”の使用を認める制度です。

要するに、JIS規格の制定よりプライバシーマークが運用開始したほうが早いのです。

当然個人情報保護に関するJIS規格が制定されることを前提としていたとは推測できますが、多分、JIS規格が制定されていなくても、個人情報保護をしっかりと行っていることを保証する　ロゴマークになったのではないかと思います。

しかし、JISQ15001が制定された後は、JISQ15001に基づいて個人情報保護を行っている事業者に付与（2年間の貸与）されるロゴマークになっていきます。

繰り返しになってしまいますが、もともとプライバシーマークは他の規格の認証マークと異なり、JISQ15001に従って運用していることを認めているわけではなく、個人情報保護をしっかりとやっていることを保証するロゴマークだったのです。

こうやって、プライバシーマークができた経過を見てみると、プライバシーマークは認証といわずに、“付与適格決定”と表現する理由が何となくわかりますね。

ちなみに、JISQ15001に基づいてマネジメントシステムを運用していることを第三者が認定する仕組みは、プライバシーマーク以外にもあります。

一時、複数の認定個人情報保護団体が認定を行っていましたが、プライバシーマークの知名度が圧倒的なため、今は募集していない様です。

現在も運用されている例として、全国社会保険労務士会連合会が運営している「社会保険労務士個人情報保護事務所認証制度（SRP 認証制度）」があります。この制度は、マイナンバーの保護も考慮した「SRPⅡ認証制度」に改訂され、北海道から沖縄まで800近くの社労士事務所が認証を受けています。

また、ISO9001等の認証機関である一般財団法人日本品質保証機構は、他のISO規格と同じ様な手順でJISQ15001認証サービスを行っています。

まとめ

JISQ15001とプライバシーマークの関係、お分かりいただけたでしょうか？

今後JISQ15001は2017年度版への対応が必要となります。

すでに認証を取得されているお客さまで当社のサポートを必要とされている方は、ぜひご連絡ください！

ISO取得のご依頼はこちらまで今すぐご相談を！

ISOコム株式会社お問合せ窓口 0120-549-330