個人情報保護マネジメントシステムのメインとなる要求事項が「3.4 実施及び運用」です。
個人情報保護の基本事項である「取得」「利用及び提供」「適正管理」及び「個人情報の本人の権利の確保」に関する要求事項が規定されています。
個人情報保護法と最も密接にかかわる
個人情報保護マネジメントシステムのDO(実行)にあたる、JIS Q 15001のメインとなる要求事項が「3.4 実施及び運用」です。
個人情報保護の基本事項である以下の要素で構成されています。
- 3.4.1 運用手順
- 3.4.2 取得・利用及び提供に関する原則
- 3.4.3 適正管理
- 3.4.4 個人情報に関する本人の権利
- 3.4.5 教育
この「3.4 実施及び運用」は、最も個人情報保護法と密接にかかわりを持つ要求事項が規定されています。
実施及び運用にかかわる手順の確立を要求したのが「3.4.1 運用手順」で、個人情報の取得に関する五つの要求事項、利用に関する二つの要求事項及び提供に関する要求事項を規定しているのが「3.4.2 取得・利用及び提供に関する原則」です。
また、主に個人データに関する正確性の確保や安全管理措置の実現、従業者への監督に関する措置及び、委託先管理に関する要求事項を規定しているのが「3.4.3 適正管理」です。
なお「従業者の監督」についても個人情報保護法の第21条である従業者の監督にあわせて要求事項に追加されています。
あわせて、個人情報の開示、訂正・追加、削除及び本人からの利用または提供の拒否に関する七つの要求事項を規定しているのが「3.4.4 個人情報に関する本人の権利」です。
ここでも旧規格では三つであった個人情報の本人の権利に関する要求事項も個人情報保護法にあわせて四つの要求事項が追加されており、その結果、開示の対象となる個人情報が明確にされ、要求事項がより具体的に規定されています。
最後に、個人情報保護マネジメントシステムの導入及び維持に欠かすことのできない、従業者に対する教育の要求事項を「3.4.5 教育」で規定しています。