個人情報保護に関する体制を整備し、定められたとおり実行し、定期的に確認を行い、継続的に改善をするための管理の仕組み。
それが個人情報保護マネジメントシステムです。
個人情報保護マネジメントシステムとは
個人情報保護マネジメントシステムとは、個人情報保護に関する体制を、方針の策定責任権限の明確化や資源配分手順の文書化などによって整備し、個人情報の適切な取扱いや、安全対策・情報主体との確実なコミュニケーションによって実行し、内部監査をもって定期的に確認を行い、代表者による仕組みの見直しなど、継続的に改善をするための体系的な管理の仕組みを指すとJIS Q 15001では規定しています。
この管理原則は「品質マネジメントの国際規格ISO9001」や「環境マネジメントの国際規格ISO14001」ならびに「情報セキュリティマネジメントのISO27001」と同様にマネジメントシステムの考え方を取り入れたものであり、PDCA、すなわち「PLAN(計画)」「DO(実行)」「CHECK(確認)」「ACT(見直し)」の活動を通じて、継続的改善を実施し「スパイラルアップ」させることを基本としています。
規格の要求事項とは?
①要求事項の構成
「規格の要求事項」とは、事業者が実現しなくてはならない、適切な個人情報保護を実現するための管理の仕組み(個人情報保護マネジメントシステム)を構築するための基本事項を指します。
規格は「第1章 適用範囲」「第2章 用語及び定義」「第3章 要求事項」という構成になっていて、認証基準である規格の要求事項については第3章からとなっています。
また、この第3章自体も9部構成になっています。
「3.1 一般要求事項」「3.2 個人情報保護方針」「3.3 計画」がマネジメントシステムでいうPLAN(計画)にあたり、「3.4 実施及び適用」「3.5 個人情報保護マネジメントシステム文書」及び「3.6 苦情及び相談への対応」がDO(実行)、「3.7 点検」がCHECK(確認)、そして「3.8 是正処置及び予防処置」、「3.9 事業者の代表者による見直し」がACT(見直し)に対応しています。
②要求事項の分類
この要求事項は以下のように、実現方法別に分類することができます。
- 個人情報保護に関する体制整備に関する要求事項
- 自社で取り扱う個人情報ごとにルールを決定する要求事項
- 個人情報を構成する“データや書類”ごとにルールを決める要求事項
- 個人情報の本人の種別ごとにルールを決める要求事項
なお「自社で取り扱う個人情報ごとにルールを決定する要求事項」とは、個人情報の「取得及び利用 / 提供」に関する要求事項のことであり、その実現のためには自社で取り扱う個人情報ごとに「利用目的や取得範囲」「取得の方法」「機微な情報の取扱制限」ならびに「本人との同意の方法」などを取り決めることが必要になります。
「個人情報を構成する“データや書類”ごとにルールを決める要求事項」とは、個人情報の「セキュリティの確保」に関する要求事項のことであり、実現するためには保有している個人データ等の「正確性の確保」や「安全対策の実施」及び「従業者への監督」ならびに「委託時の管理(委託先の評価選定や契約要件など)」を取り込めることが必要となります。
「個人情報の本人の種別ごとにルールを決める要求事項」とは、開示要求や利用拒否の受付など「本人の権利を確実にする」ための要求事項を指し、実現するためには個人情報の本人となる消費者や従業者別に具体的に手順を取り決めることが必要となります。
③JIS Q 15001で使用される用語
JIS Q 15001で使用される用語は、原則的に個人情報保護法と統一されています。