【JAPiCO】 一般社団法人 日本個人情報管理協会



第10回 「JAPiCO」マークの基礎になる「JISQ15001」

企業や団体などの事業者が個人情報を安全かつ適切に管理する指針となるマネジメントシステムの規格に「JISQ15001」がある。財団法人日本規格協会の原案によって策定された「日本工業規格(JIS)」の一つである。コンピューターの発達、インターネットの急速な普及によって事業者が個人情報を容易に大量に収集、保管、利用するケースが増大し、それとともに、保管している個人情報が悪用される懸念が大きくなったため、1999年、事業者が保有する個人情報を適切に運営する標準的なマネジメントシステムとして工業規格の中に制定された。当初は各省庁で個人情報保護の法律や政令を策定する動きが出たが、類似の規格を多数の省庁でばらばらに決めると事業者に混乱を招く恐れがあるため、省庁の枠を超える横断的な仕組みとして「JISQ」で標準規格を制定することが選ばれたと言われている。国際的な個人情報保護の標準であるOECDの規格など海外の仕組みを参考にして作られた。

「JISQ15001」では、事業者が個人情報を取り扱うためのマネジメントシステムを持つことを要求している。このシステムは、個人情報を適切に取り扱うための計画を立て(Plan)、実行し(Do)、それが適切に行われているかどうかを定期的または必要時に評価し(Check)、見直すポイントがあれば改善する(Act)というもので、継続的な経営改善を目指す経営手法の「PDCAサイクル」の一つである。

個人情報を取り扱う有力企業は多くの個人情報を取り扱っている。その適切な運用を図るため、「JISQ15001」に基づいて自社に個人情報保護のためのマネジメントサイクルを作りその仕組みが機能していることを第三者が証明する必要がある。

事業者がこうしたマネジメントサイクルを動かしていることを認証する三者機関として「JISQ15001」に準拠した、JIPDEC(財団法人日本情報経済社会推進協会=旧財団法人日本情報処理開発協会)の「プライバシーマーク(Pマーク)」がスタートしている。長い間、個人情報保護のマネジメントシステムが機能していることを認証するものとしては「Pマーク」だけだったが、2011年夏「一般社団法人 日本個人情報管理協会」が発足し、経済産業大臣から「認定個人情報保護団体」として認定された。「Pマーク」と並ぶ2番目の認証マークとして「JAPiCOマーク」の運用を開始したのである。これに伴って経済産業省などの入札案件の応札条件は従来の「Pマークを取得している」とする趣旨の表記が「JISQ15001に基づく認証を得ていること」という趣旨に変更されている。

現在、「JISQ15001」に基づく個人情報マネジメントサイクルが機能していることを認証する機関はJIPDECと日本個人情報保護管理協会の2機関が主だが、今後、第3、第4の認証機関が生まれることも可能性としてはないわけではない。このため、経済産業省の調達に関しては「PマークまたはJAPiCOマーク」とせず、第3、第4が生まれても通じるように「JISQ15001」と定めたようである。

これに伴って有力企業でも取引先に要請していた「Pマーク取得」の要件も「JISQ15001に基づく認証」と変更され始めている。今後は「JAPiCOマーク」取得企業の増加に伴って、「Pマーク取得」を要件としてきた企業も「PマークまたはJAPiCO取得」あるいは経済産業省の調達基準にならって「JISQ15001に基づく認証」と条件を変更することになるだろう。


【筆者=JAPiCO理事長 中島洋】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization