PR

経済産業省は、個人情報を扱う企業が順守すべき事項をまとめた規格JIS Q15001を5月にも改定する。同規格は、プライバシーマーク取得の審査基準として使われている。基準が厳しくなる一方で、実施すべき事項が明示されることで、対策が立てやすくなりそうだ。


本記事は日経コンピュータ 1月23日号に掲載予定のレポートより、本文のみを抜き出したものです。そのため図や表が割愛されていることをご了承ください。

 プライバシーマーク(Pマーク)は、個人情報を適切に管理していることを認定する制度。これまでは1999年に策定されたJIS Q15001を審査基準としてきたが、2005年4月に個人情報保護法が全面施行された結果、「Pマークの審査基準と個人情報保護法の間で求めるレベルに差があり、企業が個人情報の扱いの判断に迷うケースが生まれてしまった」(経産省商務情報政策局情報経済課の齋藤雄一課長補佐)。

 また、現行のJIS Q15001にしても個人情報保護法にしても、具体性に欠ける記述があるため、「Pマーク取得を希望する企業にとって、何をすべきかが分かりにくい点があった」(齋藤課長補佐)。

 今回の改定は、この二つの問題点を解消するもの。まず、個人情報保護法と用語を統一した上で、差がある部分を埋める。例えば個人情報保護法で言及している、業務委託先管理の必要性や、関連会社による個人情報の共同利用の考え方を、現行のJIS Q15001では触れていないため追加する(図)。一方で、JIS Q15001の方がより厳しく規定している部分は残す。「宗教や人種、犯罪歴といったセンシティブ情報は、本人の同意なく利用してはならない」などである。この点で、Pマークの審査基準は従来よりも厳しくなる。

 記述の分かりにくさについては、対策内容を具体的に示す。例えば、「企業がWebサイトなどで公開している役員の個人情報は、本人に通知すれば第三者に提供できる」などである。JIS Q15001の記述の中であいまいだと指摘されることが多いPDCAサイクルの運用については、リスク分析を実施して計画を立てる、漏洩事故など緊急事態の際の手順を決めておく、適切に個人情報を管理していることを実証するための記録をとっておく、部署ごとに個人情報の管理状況を日常的に点検する、など具体例を挙げる。全社的に半年や年に一度内部監査を実施するだけでは不十分という考えから、部署ごとの日常点検も求める。

 こうした基準の明確化は、Pマークを取得しようと考える企業には朗報だ。どのような対策をどこまで徹底すればよいかが分かりにくく、結果的に方向性を誤ったり、過剰な対策を実施する恐れがあったからである。審査員によって判断のばらつきがあり、取得企業は手探りで対策を進めなければならない点も、「審査基準が明確になれば解消され、企業の負担軽減が期待できる」(Pマーク取得のためのコンサルティングを手掛ける、ネット情報セキュリティ研究会の田淵義朗 会長)。

 経産省は、JIS Q15001の改訂版を5月下旬にも公開する予定。Pマーク制度の事務局である日本情報処理開発協会(JIPDEC)は、改定版による審査の開始時期を明らかにしていないが、早ければ2006年夏にも始めると見られる。審査基準の改定は、Pマーク取得済みの企業にも影響を与える。2年ごとに必要な更新で、対策の見直しを迫られる可能性がある。

(福田 崇男)