第7回 新しい審査基準「JIS Q 15001:2006」を学ぶ
直江 とよみ
NECソフト株式会社
営業本部 IT経営支援グループ
ISMS審査員補/認定プライバシーコンサルタント(CPC)
2007/1/10
第1回「プライバシーマーク取得への第一歩」から第6回「プライバシーマークの申請と審査」までで、プライバシーマーク(Pマーク)取得のための手順の一連を解説してきました。いままでの解説は「JIS Q 15001:1999」を対象にしてきましたが、最終回では2006年5月20日に制定された「JIS Q 15001:2006」との差分について解説していきます。
JIS Q 15001:2006への移行
2006年5月20日に「JIS Q 15001:2006」(以下、新JIS)が制定されました。これとともに、プライバシーマークの審査基準は、新JISが基準となります。
財団法人日本情報処理開発協会(JIPDEC)は、新JISへの移行について6カ月間の経過措置期間を設けました。新JISが制定された2006年5月20日を起算日として、6カ月間を経過措置期間(2006年5月20日から2006年11月19日まで)としました。従って、現在は新JISでの申請および更新のみを受け付けています。
プライバシーマークの更新は2年ごとに行います。これを考慮し、経過措置期間後から2年間を、新JISへの移行措置期間としています。そして、移行措置期間の満了の日(2008年11月19日)で旧JIS(JIS Q 15001:1999)の適用が廃止となります。
よって、すでにプライバシーマークを取得している企業は、更新のタイミングで新JISに移行していくことになります。移行措置期間においては、更新申請可能期間(有効期限の4カ月前から3カ月前までの間)の前でも更新申請が可能となっています。
ちなみに、新JISでの取得(更新)を行うと、プライバシーマークも新JIS対応のものになります。詳細は、JIPDECの資料をご確認ください。
| 【新JIS認定事業者のプライバシーマーク表示について】 http://privacymark.jp/pr/20061114.pdf |
JIS Q 15001:2006の改正
初めてプライバシーマークを取得する企業にとって、新JISは旧JISと比較して理解しやすいといえるでしょう。なぜなら、用語や考え方などが個人情報保護法を参考に改正されたといえるからです。
日本において、個人情報保護という考えが広く知られるようになったきっかけは、2005年4月に全面施行となった個人情報保護法の制定です。個人情報保護の考え方は、世界でももっと以前から存在し、1980年のOECD8原則、1995年EU個人情報保護指令と広まりました。そして日本では、1999年に旧JISが制定されています。個人情報保護法は、世界の動きを追いかけるように作られた法律といえます。
しかし、個人情報保護法は旧JISに合わせて作られた法律ではないので、個人情報の保護という基本原則は共通でありながら、用語の使い方には共通性はありませんでした。今回の新JISの改正に当たり、まず用語が個人情報保護法を意識した定義となっている点も大きなポイントとなります。
| 図1 個人情報保護に関する世界と日本の流れ |
名称も以下のように変更になりました。
「個人情報保護に関するコンプライアンス・プログラムの要求事項」 (JIS Q 15001:1999) |
「個人情報保護マネジメントシステム―要求事項」 (JIS Q 15001:2006) |
「マネジメントシステム」という文言への変更により、JISが求めているものは、PDCAサイクルによる、継続的で形骸化しない個人情報保護活動であることがより明確になっています。
新JIS改定に当たり、「より具体的になった」ということも重要なポイントでしょう。旧JISにおいて、解釈の難しかった部分や具体性に欠ける記述について、できる限り「すべきこと」を記述するよう配慮されています。また、規格に付属する解説では、できるだけ具体的な適用場面を記述するなど、理解を助けるよう改正されています。
旧JISから新JISへの変更点
新JISでは、個人情報保護法の概念を取り込みつつ、旧JISで分かりにくかったところを明確にするため、項目を細分化しています。特に用語については、情報主体を「本人」、個人情報の収集を「取得」とするなど、個人情報保護法と共通の用語を用いており、理解しやすくなっています。
以下は、旧JISと比較して、どの項目が変更・追加されたかをまとめたものです。
項番 |
変更・追加点 |
|
| 1. | 適用範囲 | 適用範囲の変更 |
| 2. | 用語及び定義 | 個人情報保護法と用語を統一方向 |
| 3. | 要求事項 | |
| 3.2 | 個人情報保護方針 | ガイドラインの遵守を追加 制定年月日などの追加 |
| 3.3 | 計画 | |
| 3.3.1 | 個人情報の特定 | |
| 3.3.2 | 法令、国が定める指針その他の規範 | |
| 3.3.3 | リスクなどの認識、分析及び対策 | 各局面におけるリスクの認識 審査事項の明確化 |
| 3.3.4 | 資源、役割、責任及び権限 | |
| 3.3.5 | 内部規定 | 6項目→15項目に |
| 3.3.6 | 計画書 | |
| 3.3.7 | 緊急事態への準備(追加) | 緊急事態の特定と対応 |
| 3.4 | 実施及び運用 | |
| 3.4.1 | 運用手順(追加) | 運用手順の明確化(PDCAサイクル) |
| 3.4.2 | 取得、利用 | |
| 3.4.2.1 | 取得、利用及び提供に関する原則 | |
| 3.4.2.2 | 適正な取得 | |
| 3.4.2.3 | 特定の機微な個人情報の取得利用及び提供の制限 | |
| 3.4.2.4 | 本人から直接書面によって取得する場合の措置 | 旧JISの直接収集の中の書面による取得 |
| 3.4.2.5 | 個人情報を3.4.2.4以外の方法によって取得した場合の措置 | 書面以外の取得 旧JISの間接収集 |
| 3.4.2.6 | 利用に関する措置 | |
| 3.4.2.7 | 本人にアクセスする場合の措置 (追加) | 同意が必要 |
| 3.4.2.8 | 提供に関する措置(追加) | 同意が必要(法的) |
| 3.4.3 | 適正管理 | |
| 3.4.3.1 | 正確性の確保 | |
| 3.4.3.2 | 安全管理措置 | リスクに応じた措置 |
| 3.4.3.3 | 従業者の監督 (追加) | 必要かつ適切な監督(法的) |
| 3.4.3.4 | 委託先の監督 | |
| 3.4.4. | 個人情報に関する本人の権利 | |
| 3.4.4.1 | 個人情報に関する権利 | 「開示対象個人情報」=「保有個人データ」 (法的) |
| 3.4.4.2 | 開示等の求めに応じる手続き | |
| 3.4.4.3 | 開示対象個人情報に関する事項の周知など | |
| 3.4.4.4 | 開示対象個人情報の利用目的の通知 | |
| 3.4.4.5 | 開示対象個人情報の開示 | |
| 3.4.4.6 | 開示対象個人情報の訂正、追加又は削除 | |
| 3.4.5 | 教育 | 定期的に適切な教育を行う |
| 3.4.5.1 | 文書の範囲 | a)個人情報保護方針 b)内部規定 c)計画書 d)記録 |
| 3.4.5.2 | 文書管理 | 項目の明確化 手順を確立し、実施し、維持する |
| 3.4.5.3 | 記録の管理 | |
| 3.6 | 苦情及び相談への対応 | 迅速な対応と体制 |
| 3.7 | 点検 | |
| 3.7.1 | 運用の確認(追加) | 定期的な確認 |
| 3.7.2 | 監査 | 監査責任者の選定・資質 |
| 3.8 | 是正処置及び予防処置(追加) | 不適合に対する手順の確立 |
| 3.9 | 事業者の代表者による見直し | 項目の明確化 |
| 表1 旧JISから新JISへの改正による変更点 |
|
1/3 |
|
| Index | |
| 新しい審査基準「JIS Q 15001:2006」を学ぶ | |
| Page1 JIS Q 15001:2006への移行 JIS Q 15001:2006の改正 旧JISから新JISへの変更点 |
|
| Page2 新JIS対応のためのポイント:適用範囲/用語及び定義 新JIS対応のためのポイント:計画 新JIS対応のためのポイント:実施及び運用 |
|
| Page3 新JIS対応のためのポイント:点検 新JIS対応のためのポイント:是正処置及び予防処置 新JIS対応のためのポイント:事業者の代表者による見直し |
|
Pマーク取得への道 バックナンバー
- 第1回 プライバシーマーク取得への第一歩
- 第2回 業務フローと保有個人情報の洗い出し
- 第3回 リスクを把握して適切な対策を講じる
- 第4回 コンプライアンス・プログラムを作る
- 第5回 コンプライアンス・プログラムの運用と内部監査
- 第6回 プライバシーマークの申請と審査
- 最終回 新しい審査基準「JIS Q 15001:2006」を学ぶ
| 関連記事 |
| やさしく読む「個人情報保護法」 (全6回) |
| Pマーク取得への道 連載インデックス |
- 古くて新しい、電子メール暗号化対応とその手法 (2008/2/1)
情報漏えいを防ぐためのメール暗号化。古くからある技術なのですが、いまだ浸透していないのはなにか理由があるのでしょうか - いつかは起きる「DHCPが止まる日」のために (2008/1/30)
ネットにつながるための第一歩はDHCPによるIPアドレスの払い出し。そのDHCPが止まったとき、どんな形で影響が出るのでしょうか - APIアクセス権を委譲するプロトコル、OAuthを知る (2008/1/21)
マッシュアップでAPIアクセス権の委譲をどう扱うべきか――この問題を解決すべく作られたプロトコル「OAuth」に迫る - その文字列はセーフ? 本当は奥深いデコード処理 (2008/1/18)
Webアプリを勉強した人ならば、エンコードなんて当たり前。だけどこの文字列、しっかり処理をしないと「%91%e5%95%cf」!
|
|
スポンサーからのお知らせ
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜プロジェクトマネジメント編〜
| ◆ | New! これから伸びるコンサルタント分野は何か? 〜エンジニア・キャリア進化論(第3回)〜 |
| ◆ | New! 「ケーブル挿して電源ON!」ほぼ完了!? “めっちゃお手軽”メールセキュリティ |
| ◆ | New! ■ボトルネックバスターズ 2■ 【最終回】 彗星寺の威厳は彗星のごとく消えていった…… |
| ◆ | MyEclipse ビジュアルJSPデザイナーなら WYSIWYGエディタだから簡単Webページ作成 |
| ◆ | x86サーバなるほど相談室 開設! その悩み、ペディアくんがお答えします。 |
| ◆ | SPECjbb2005最高水準の実行速度! このベンチマークテスト結果を見よ! |
| ◆ | 開発で重要な要件定義は、転職でも同じ プロが教える、転職活動の要件定義とは |
| ◆ | ¥も$も対応する“国際デビッドカード” 止まらないサーバが実現したシステムは? |
| ◆ | VB.NETによる開発のスタイルを変える 専用O/Rマッパー導入のメリットとは? |
| ◆ | 「わしは知らんかった」では済まされない 記録保管として電子メールが持つ意義とは |
| ◆ | データマイニングを武器に、C型肝炎 ウイルスと戦う医師。その治療の行方は? |
| ◆ | とにかく人が足りない「組み込み開発業界」 今こそ、キャリアチェンジのチャンス! |
| ◆ | “予防”と“発見”で強化する内部統制 ――@IT主催内部統制セミナー詳細 |
| ◆ | 「番次郎さん、WSSが使えそうです!」 “いぶき”がついに、難題突破口を発見! |
| ◆ | ORACLE MASTER取得者へ林優子氏が指南! 「次に身に付けるべきスキルとは……」 |
| ◆ | フロントシステムの4つの課題を解決! 企業システムでAjaxが実用化段階に |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「ITmedia」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。