JIS Q 15001の規格要求事項には「3.1 一般要求事項」から「3.9 事業者の代表者による見直し」まで38項目あります。個人情報保護法で要求されてる内容のほとんどは「3.4 実施及び運用」で規定される要求事項になります。
一般要求事項は規格の総論
「3.1 一般要求事項」は、規格の総論を規定したものです。
JIS Q 9001:2000(ISO9001),JIS Q 14001:2004(ISO14001)及びJIS Q 27001:2005(ISO/IEC27001)など、JISが規格する他のマネジメントシステムも認証の対象となる要求事項の始まりは、すべて「一般要求事項」です。
これは、事業者はこの規格の要求事項(3.1 一般要求事項~3.9 事業者の代表者による見直し)を用いた上で、自社の特性に応じた個人情報保護のためのマネジメントシステムを作成、運用し、見直しをしなさいという事です。
規格の適用となる事業者
規格の解説にあたる「Ⅱ-Ⅰ 適用範囲」において、適用となる事業者を「個人情報を事業の用に供している事業者」として、個人が自己のために「個人の住所録」を作成し、管理するなどの行為は、この規格の対象とはしないと規定しています。
あわせて、当該情報を事業者が、個人情報に該当するかどうかを認識することなく預かっている場合についても事業の用に供していないとして、その例として倉庫業やデータセンター(ハウジングサービスやホスティングサービスなど)を挙げています。
また、一定の目的をもって反復継続して遂行される同種の行為で、一般通念上事業として認められるものを、事業の用に供している「事業」といい、この規格で対象とする事業は、営利事業だけではないと規定しています。
従業者の情報も保護すべき個人情報にあたります
同様に、従業者の情報も保護すべき個人情報になります。これは規格の解説である「Ⅱ-Ⅰ 適用範囲」に置いて「従業者の個人情報は、事業の用に供している個人情報である」と規定している事により、説明されています。
なお、詳しくは後述しますが「従業者」とは、事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者を指し、雇用関係にある従業員だけでなく、役員や派遣社員なども含まれます。