JIS Q 15001:2023 附属書Aと個人情報保護法とガイドラインの関係
「個人情報の保護に関係する法律」(以下「個人情報保護法」)とは、個人情報等を取り扱う場合のルールについて定める法律です。個人情報の適切な利用を促しつつも、個人の権利利益もしっかり保護することで、バランスをとり、「個人情報」や「個人データ」といった保護の対象となる情報の定義や、各情報を利用する際のルールを規定しており、ルールを守らない場合には、指導や勧告、罰金等につながる可能性があります。
そして、事業者が個人情報の適正な取扱いの確保に関して行う活動を支援すること、及び当該支援により事業者が講ずる措置が適切かつ有効に実施されることを目的として、個人情報保護法に基づく具体的な指針として定めたのが、「個人情報の保護に関する法律についてのガイドライン」(以下「ガイドライン」)です。
また、法令遵守を前提にして、個人情報の保護を目的とした「個人情報の適切な管理のためのマネジメントシステム」の要求事項を定めたの規格が、JIS Q 15001(個人情報保護マネジメントシステム-要求事項)です。この規格は、個人情報保護法の改正の都度、内容の整合性を図るために改正が行われています。
故に、JIS Q 15001および個人情報保護法、個人情報保護法ガイドライン(通則編)においては、それぞれに関連する項目が存在します。
プライバシーマーク制度は、JIS Q 15001に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」(以下「構築・運用指針」)に基づいて、個人情報について適切な保護措置を講ずる体制を整備している事業者等を評価して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。
この「構築・運用指針」では、JIS Q 15001の要求事項のみならず、法令、国が定める指針その他の規範に関する事項が含まれているため、プライバシーマーク付与の認定を検討する際は、JIS Q 15001のみならず、法令遵守を前提に、個人情報保護法およびガイドラインも合わせて検討する必要があります。
上図では、それらの項目の関連性を一覧で示すことで、JIS Q 15001および個人情報保護法、ガイドラインの理解を深めて頂ければと思います。
プライバシーマーク制度とJIS Q 15001
1989年に、当時の通商産業省が個人情報保護に関するガイドラインを策定し、翌年、これを基準とした第三者評価認証制度である「プライバシーマーク制度」が開始されました。ただ、この取り組みは、通商産業省のガイドラインを基礎としていたため、業種業態を超えた取り組みが必要との考えにて規格したのが、JIS Q 15001です。
その後、JIS Q 15001は、個人情報法制定後に法令遵守を達成するためのマネジメントシステム規格への移行し、2017年改正では、マネジメントシステム規格としての位置づけの明確化を図るための規格構成の見直しがなされた。
JIS Q 15001と個人情報保護法
2017年に改正個人情報保護法が全面施行されたことを受け、JIS Q 15001も、用語及び定義を合わせる共に、管理策等を追加するなどの改正がなされました。
JIS Q 15001:2017(JIS規格2017年版)では、「ISO/IEC専門業務用指針,第1部 専門業務の手順」の附属書SLを参考に、原則、規格の本体に規定することとされ、それまでの規格の構成と異なり、規格本文と附属書A(規定)とに、規定が分離されました。
その後、令和2年及び令和3年に個人情報保護法が改正され、それに整合する規格とするためJIS Q 15001も改正され、これまでの事業者単位を適用範囲とされてきたものが、組織形態の実態に合わせ、一部又は複数の事業者をも対象とするよう見直しが行われました。
この改正で、JIS規格2017年版の附属書A (規定)では、本体のマネジメントシステム(以下「MS」)規定と附属書Aに含まれるMS規定との対応が分かりにくいかったため、JIS規格2017年版の附属書A のMS規定については、本体に規定を設け、附属書Aは、個人情報保護法の内容に対応する規定とされました。
これに伴い、附属書Aの全体構成も、個人情報保護法に対応する構成に変更されました。
また、附属書Aが規定する要求事項などの記載は、原則、「上乗せ規定」だけに変更されました。
この理由としては、JIS規格2017年版の附属書Aでは、個人情報保護法の定めに加え、この規格を適用する組織が要求,推奨又は許容される事項(上乗せ規定)を規定しており、個人情報保護法との対応関係を明確にするため、個人情報保護法を一部引用していましたが、法改正の都度、見直す必要が生じること及び法の規定と上乗せ規定との関係が分かりにくいなど、また規格票の作成方法を定めるJIS Z 8301において「法規を直接引用して要求事項、推奨事項又は許容事項の一部としてはならない」旨が規定されているためです。
なお、これらの変更は、原則、記載方法の変更であり、2017年規格の要求事項などの変更ではありません。
個人情報保護法と個人情報保護法ガイドライン(通則編)
ガイドラインでは、事業者が個人情報を適切に扱えるよう支援を目的としており、個人情報保護法をかみ砕いて具体的な指針となる情報をまとめたものとなっています。
なお、ガイドラインの中で、「しなければならない」及び「してはならない」と記述している事項に従わなかった場合、法違反と判断される可能性がありますので、ご注意ください。
また、「努めなければならない」、「望ましい」等と記述されている事項については、従わなかったために直ちに法違反と判断されることはないが、事業者の特性や規模に応じて、可能な限り対応することが望まれています。
一方、「努めなければならない」、「望ましい」等と記述されている事項について従わなかったことをもって、直ちに法違反と判断されることはありませんが、事業者の特性や規模に応じて、可能な限り対応することが望ましいとされています。
法の規定のうち、以下に関しては、各々について分かりやすく一体的に示す観点から、別途定めていおります。
- 第28条(外国にある第三者への提供の制限)
「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」 - 第29条(第三者提供に係る記録の作成等)及び第30条(第三者提供を受ける際の確認等)
「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」 - 第4章第3節(仮名加工情報取扱事業者等の義務)及び第4章第4節(匿名加工情報取扱事業者等の義務)
「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」
※個人情報保護法および個人情報保護法ガイドライン各種は、個人情報保護委員会(PPC)ホームページ上)にて入手可能です。
