PR

 本年5月20日、プライバシーマーク制度の認証基準「JIS Q 15001」が約7年ぶりに改正された。このため、旧JISからどのような内容へと変更されたのか、このコラムではシリーズで解説を続けてきた。前回に続き、今回は要求事項2「用語及び定義」のポイントを解説する。

はじめに

 このシリーズ第1回で、プライバシーマークは「2006年7月11日現在、すでに4,580社が取得している。」と書いた。

 その後、JIPDECの「プライバシーマーク使用許諾事業者一覧」が更新されている。これによると2006年7月26日現在の取得企業数は「4,754社」となっている。実に2週間で174社も増加するというハイペースである。

 このデータには、プライバシーマークに対する企業の関心の高さが如実に示されている。

「要求事項2」が新JISで占める位置

 前回新JIS(JIS Q 15001:2006)が、下の表のとおり3つのパートに大別されていることを指摘したうえ、「適用範囲」(要求事項1)について説明した。

 今回は、これに続いて要求事項2の「用語及び定義」(下の表の黄色部分)について説明する。

要求事項 表 題
1 適用範囲
2 用語及び定義
3 要求事項

用語及び定義(要求事項2)

 「用語及び定義」には8つの定義項目が登場する。

 具体的な定義項目は、「個人情報」「本人」「事業者」「個人情報保護管理者」「個人情報保護監査責任者」「本人の同意」「個人情報保護マネジメントシステム」「不適合」である。

 このシリーズ第2回で、新JISは個人情報保護法(保護法)をベースにしていると説明した。

 「個人情報」という用語も、保護法とおなじ言葉が使われているので、ともすれば内容も同一だという誤解が生じやすい。

 たしかに両者は基本的には同一である。しかし、死者を本人とする情報が含まれるか(新JIS2.1)、それとも含まれないか(保護法2条1項)、という違いがある。保護法2条1項の定義と異なり、新JISの定義では「生存する」という要件が求められていないからである。

 つまり、おなじ「個人情報」という言葉であっても、新JISと保護法で内容が異なっており、新JISの方が、保護法よりも対象情報の範囲が広いことになる。

新JISと保護法が対象とする個人情報の範囲

 次に、「本人」の定義について説明する。

 旧JISでは「情報主体」と呼ばれていた。これに対し、保護法では「本人」という用語を使っている(保護法2条6項)。そのため、保護法と用語を統一する目的で、新JISでは「本人」という用語に変更されたことについては前述した。定義の文言も「個人情報によって識別される特定の個人」というものであって、保護法とまったく同一である。

 しかし、すでに述べたとおり、新JISでは「個人情報」に死者を本人とする情報が含まれる。そのため、新JISでは「本人」にも生存者だけでなく死者が含まれることになる。この点で「本人」の概念も、実質的には保護法と異なっている。

 換言すると、このように完全に同一の用語と定義文言であっても、内容の点で、以上のような違いがあるということを、社内の個人情報保護・プライバシーマーク担当者は十分に認識したうえで、自社の従業者に対し事前に周知・教育しておくことが必要となる。

 そうしておかなければ、従業者が勝手に保護法と同一だと誤解して、生存者の情報かどうかという基準で形式的に処理してしまうことになりかねず、そうなれば新JIS違反――これを新JISでは「不適合」という言葉で定義している――を招くおそれがある。

 「事業者」とは、広く事業を営む法人その他団体・個人であれば足りることが定義されている。保護法の「個人情報取扱事業者」(保護法2条3項)という概念と違って、細かな除外規定は置かれていない。両概念の違いは、保護法と違って、規格という新JISの性格上、適用が強制されていないことに由来している。

 「個人情報保護管理者」は、保護法に定められていない概念である。それは、保護法に基づく政府の「個人情報の保護に関する基本方針」に登場する言葉である。いわゆるチーフプライバシーオフィサー(CPO)のような責任者を指している。

 保護法と違って、旧JISとおなじく、新JISがマネジメントシステムを採用していることから、「個人情報保護管理者」は、欠くことができない存在として位置づけられている。

 新JISでは、個人情報保護管理者は明文で事業者内部の人間に限定されており、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限をもつ者として定義されている。

 「個人情報保護マネジメントシステム」という言葉の意味については前回説明した。

 残りの定義項目「個人情報保護監査責任者」及び「本人の同意」については、各関連箇所で後述する予定である。

要求事項(要求事項3)

 この狭義の「要求事項3」の部分が、いわば新JISの本体となる部分である。

 次回から、新JISのなかでも最も重要な「要求事項3」に関する解説に入る。

◎関連資料
規格詳細情報「JIS Q 15001:2006」(財団法人日本規格協会)
個人情報保護法(内閣府)
個人情報の保護に関する基本方針(内閣府)
「JIS Q 15001:2006への移行計画」(財団法人日本情報処理開発協会)
書籍案内「JIS Q 15001:2006 個人情報保護マネジメントシステム 要求事項の解説」(財団法人日本規格協会)
書籍案内「これだけは守りたい Privacyマーク ルールブック」(日経出版販売)