第2回 プライバシーマーク制度を学ぶ：対策に最適な制度を活用する（3/5 ページ）

[丸山満彦（監査法人トーマツ），ITmedia]

　プライバシーマークを付与する判断基準として利用されているJISQ15001は、1999年に策定された。この基準は、JISQ9001、JISQ14001、ISMSなどのマネジメント認証のための規格と同様の構成をとっている。つまり、JISQ15001では計画（Plan）、実施（Do）、点検（Check）、見直し（Act）のPDCAサイクルに従った個人情報の保護に対するコンプライアンス・プログラムの整備、運用を要求している。なお、JISQ15001は要求事項のほか、解説がある。用語の定義についての補足的な事項の説明も含まれているため、マークの取得に際しては併せて理解しておく必要がある。

1.JISQ15001の章立て

　JISQ15001は5章立ての構成になっている。

　第0章　序文
　第1章　適用範囲
　第2章　引用規格
　第3章　定義
　第4章　コンプライアンス・プログラムの要求事項

　序文では、JISQ15001がコンプライアンス・プログラムにおいて最小限の要求事項を規定するものがある。ほかの法令、ガイドラインなどの要求事項を上乗せすることは許されても、JISQ15001の要求事項を下回ることはできないので注意が必要だ。そこで、要求事項を説明した第4章について解説する。

2.コンプライアンス・プログラムの要求事項

　コンプライアンス・プログラムの要求事項は、次のとおり。

4.1　一般要求事項 − 4.2　個人情報保護方針 − 4.3　計画 4.3.1　個人情報の特定 4.3.2　法令及びその他の規範 4.3.3　内部規定 4.3.4　計画書 4.4　実施及び運用 4.4.1　体制及び責任 4.4.2　個人情報の収集に関する措置 4.4.3　個人情報の利用及び提供に関する措置 4.4.4　個人情報の適正管理義務 4.4.5　個人情報に関する情報主体の権利 4.4.6　教育 4.4.7　苦情及び相談 4.4.8　コンプライアンス・プログラム文書 4.4.9　文書管理 4.5　監査 4.6　事業者の代表者による見直し

　また、4.4.2個人情報の収集に関する措置、4.4.3個人情報の利用および提供に関する措置、4.4.4個人情報の適正管理義務、4.4.5個人情報に関する情報主体の権利については、さらに詳細な項目が規定されている。

4.4.2　個人情報の収集に関する措置 4.4.2.1　収集の原則 4.4.2.2　収集方法の制限 4.4.2.3　特定の機微名個人情報の収集の禁止 4.4.2.4　情報主体から直接収集する場合の措置 4.4.2.5　情報主体以外から間接的に収集する場合の措置 4.4.3　個人情報の利用及び提供に関する措置 4.4.3.1　利用及び提供の原則 4.4.3.2　収集目的の範囲外の利用及び提供の場合の措置 4.4.4　個人情報の適正管理義務 4.4.4.1　個人情報の正確性の確保 4.4.4.2　個人情報の利用の安全性の確保 4.4.4.3　個人情報の委託処理に関する措置 4.4.5　個人情報に関する情報主体の権利 4.4.5.1　個人情報に関する権利 4.4.5.2　個人情報の利用又は提供の拒否権

3.個人情報保護法との違いと保護法対応上の留意点