企業や団体などの事業者が個人情報を安全かつ適切に管理する指針となるマネジメントシステムの規格に「ＪＩＳＱ１５００１」がある。財団法人日本規格協会の原案によって策定された「日本工業規格（ＪＩＳ）」の一つである。コンピューターの発達、インターネットの急速な普及によって事業者が個人情報を容易に大量に収集、保管、利用するケースが増大し、それとともに、保管している個人情報が悪用される懸念が大きくなったため、１９９９年、事業者が保有する個人情報を適切に運営する標準的なマネジメントシステムとして工業規格の中に制定された。当初は各省庁で個人情報保護の法律や政令を策定する動きが出たが、類似の規格を多数の省庁でばらばらに決めると事業者に混乱を招く恐れがあるため、省庁の枠を超える横断的な仕組みとして「ＪＩＳＱ」で標準規格を制定することが選ばれたと言われている。国際的な個人情報保護の標準であるＯＥＣＤの規格など海外の仕組みを参考にして作られた。

「ＪＩＳＱ１５００１」では、事業者が個人情報を取り扱うためのマネジメントシステムを持つことを要求している。このシステムは、個人情報を適切に取り扱うための計画を立て（Ｐｌａｎ）、実行し（Ｄｏ）、それが適切に行われているかどうかを定期的または必要時に評価し（Ｃｈｅｃｋ）、見直すポイントがあれば改善する（Ａｃｔ）というもので、継続的な経営改善を目指す経営手法の「ＰＤＣＡサイクル」の一つである。

個人情報を取り扱う有力企業は多くの個人情報を取り扱っている。その適切な運用を図るため、「ＪＩＳＱ１５００１」に基づいて自社に個人情報保護のためのマネジメントサイクルを作りその仕組みが機能していることを第三者が証明する必要がある。

事業者がこうしたマネジメントサイクルを動かしていることを認証する三者機関として「ＪＩＳＱ１５００１」に準拠した、ＪＩＰＤＥＣ（財団法人日本情報経済社会推進協会＝旧財団法人日本情報処理開発協会）の「プライバシーマーク（Ｐマーク）」がスタートしている。長い間、個人情報保護のマネジメントシステムが機能していることを認証するものとしては「Ｐマーク」だけだったが、２０１１年夏「一般社団法人 日本個人情報管理協会」が発足し、経済産業大臣から「認定個人情報保護団体」として認定された。「Ｐマーク」と並ぶ２番目の認証マークとして「ＪＡＰｉＣＯマーク」の運用を開始したのである。これに伴って経済産業省などの入札案件の応札条件は従来の「Ｐマークを取得している」とする趣旨の表記が「ＪＩＳＱ１５００１に基づく認証を得ていること」という趣旨に変更されている。

現在、「ＪＩＳＱ１５００１」に基づく個人情報マネジメントサイクルが機能していることを認証する機関はＪＩＰＤＥＣと日本個人情報保護管理協会の２機関が主だが、今後、第３、第４の認証機関が生まれることも可能性としてはないわけではない。このため、経済産業省の調達に関しては「ＰマークまたはＪＡＰｉＣＯマーク」とせず、第３、第４が生まれても通じるように「ＪＩＳＱ１５００１」と定めたようである。

これに伴って有力企業でも取引先に要請していた「Ｐマーク取得」の要件も「ＪＩＳＱ１５００１に基づく認証」と変更され始めている。今後は「ＪＡＰｉＣＯマーク」取得企業の増加に伴って、「Ｐマーク取得」を要件としてきた企業も「ＰマークまたはＪＡＰｉＣＯ取得」あるいは経済産業省の調達基準にならって「ＪＩＳＱ１５００１に基づく認証」と条件を変更することになるだろう。


【筆者＝JAPiCO理事長　中島洋】
＊本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
＊Japan Foundation for Private Information Conservation Organization