JISQ15001の第4章の内容を確認すると、ほぼ「個人情報の保護に関する法律(以下:個人情報保護法)」の要求事項と同一であることがわかる。しかし、以下のような若干の違いもある。
1.JISQ15001にはマネジメントの要求事項がある
2.JISQ15001では、個人情報、個人データ、保有個人データの区別がなく、すべての個人情報について原則として、個人情報保護法上の安全管理措置、開示請求、消去、利用停止、第三者提供の停止などに応じる必要がある
3.JISQ15001の場合、直接取得する場合は、同意が必要となる。また、第三者に委託する場合は委託を行う旨を知らせることが必要となる
4.JISQ15001の場合、第三者等から取得する場合であっても、本人に通知し、同意を得ることが原則として求められる
5.JISQ15001の場合、機微な個人情報の取得は原則として禁止される
6.JISQ15001の場合、個人情報の開示、消去、訂正、利用停止、第三者提供の停止については、理由の如何を問わず応じなければならない
7.JISQ15001では、共同利用の概念がない
8.JISQ15001の場合、苦情または相談に応じる義務がある
そのほか、用語や個人情報の定義が異なる(JISQ15001では個人情報に死者の情報が含まれているが、一方で法人役員等の情報は除外されている)。
JISQ15001を取得していれば、おおむね個人情報保護法を満たしていると言えるが、プライバシーマークを取得していることをもって法律対応しているとは単純に言えない。短絡的に考えずに、個人情報保護法および所管している各省庁のガイドラインなどを満たしていることを確認することが重要となる。
個人情報保護法の全面施行を控え、JISQ15001の改定作業が進められている。方向性としては、個人情報保護法との用語の整合性を図りつつ(例えば、現行のJISQ15001では委託を預託と表記しているが、これを委託にするなど)、現行のJISQ15001の精神を残したものになる予定だ。
具体的には、個人情報を直接取得する場合は、本人からの事前の同意が必要となるなどの要求事項は改訂JISQ15001においても踏襲されるものと思われる。その結果、JISQ15001を取得していれば、個人情報保護法の要求を満たすことになる。ただし、他省庁のガイドラインの要求事項をすべて取り入れることはできないため、業界ごとに追加の対応が求められると思われる。
次回は、ISMS制度について、特に、プライバシーマーク制度との違いなどをあわせて解説していきたい。
Copyright © ITmedia, Inc. All Rights Reserved.