第2回 プライバシーマーク制度を学ぶ：対策に最適な制度を活用する（3/5 ページ）

個人情報に関する各種制度を解説するシリーズ第2回では、個人情報の保護にかかわる認証として、JIPDECが中心となり制度運営を行っている、プライバシーマーク制度について解説したい。

[丸山満彦（監査法人トーマツ），ITmedia]

　プライバシーマークを付与する判断基準として利用されているJISQ15001は、1999年に策定された。この基準は、JISQ9001、JISQ14001、ISMSなどのマネジメント認証のための規格と同様の構成をとっている。つまり、JISQ15001では計画（Plan）、実施（Do）、点検（Check）、見直し（Act）のPDCAサイクルに従った個人情報の保護に対するコンプライアンス・プログラムの整備、運用を要求している。なお、JISQ15001は要求事項のほか、解説がある。用語の定義についての補足的な事項の説明も含まれているため、マークの取得に際しては併せて理解しておく必要がある。

1.JISQ15001の章立て

　JISQ15001は5章立ての構成になっている。

　第0章　序文
　第1章　適用範囲
　第2章　引用規格
　第3章　定義
　第4章　コンプライアンス・プログラムの要求事項

　序文では、JISQ15001がコンプライアンス・プログラムにおいて最小限の要求事項を規定するものがある。ほかの法令、ガイドラインなどの要求事項を上乗せすることは許されても、JISQ15001の要求事項を下回ることはできないので注意が必要だ。そこで、要求事項を説明した第4章について解説する。

2.コンプライアンス・プログラムの要求事項

　コンプライアンス・プログラムの要求事項は、次のとおり。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　また、4.4.2個人情報の収集に関する措置、4.4.3個人情報の利用および提供に関する措置、4.4.4個人情報の適正管理義務、4.4.5個人情報に関する情報主体の権利については、さらに詳細な項目が規定されている。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

3.個人情報保護法との違いと保護法対応上の留意点