JIS Q 15001(プライバシーマーク)の改定にあたって
CFT本部 山下 徹治経済産業省が、昨年12月にWebサイト上でJIS Q 15001の改定試案を公開しました。現行のJIS Q 15001は1999年にリリースされたものですので6年以上が経過しています。その間、個人情報保護法の施行などもあったのでタイミングを計っていたということなのでしょう。現在はパブリックコメントの募集期間が終わり、最終調整を行っている段階ですので正式なリリースはもうしばらく後になりますが、大枠に変更はないと思いますので、簡単に1999年版と2006年版の違いを解説してみます。
用語がわかりやすくなった
用語上のもっとも大きな変更は規格のタイトルそのものです。1999年版では「個人情報保護に関するコンプライアンス・プログラムの要求事項」から「個人情報保護マネジメントシステム−要求事項」に変更されました。当時はきっと練りに練って「コンプライアンス・プログラム」という言葉を選んだのだと思いますが、なぜわざわざそんな広義で難解な言葉を使うのか不思議でした。「マネジメントシステム」に変えられ、わかりやすくなったのは喜ばしいことです。
また個人情報保護法との用語の統一が図られています。「情報主体」→「本人」、「収集」→「取得」、「収集目的」→「利用目的」などが変更点です。これも混乱を避けるためには大切なことです。
規格要求事項の変更点もいくつか
1999年版では、個人情報の収集を「直接収集」と「間接収集」と分類していました。直接収集はもちろん、間接収集であっても原則的に本人の同意を得なくてはならないというルールになっており、アウトソーシングサービスなどを利用しようとする企業やそうしたサービスをビジネス展開している企業にはかなり厳しい要求事項でした。
それが、2006年版では「直接書面取得」と「それ以外の取得」という分類に変更されています。そして、「それ以外の取得」の場合には、個人情報保護法と同様に本人への通知又は公表で足りると変わりました。この変更により、アウトソーシングサービスは利用しやすくなると思います。
しかし一方では「本人にアクセスする場合の措置」という条項が加えられました。
本人に直接接触(電話、メール、FAX、DMなど)する場合には本人に同意が必要となっています。おそらくは間接的な取得をしやすくするかわりに、いざ個人情報を利用しお金になる活動をしようとしたときには同意が必要とすることで、個人情報のアンフェアな利用をけん制しているのだろうと思います。
全体的に見て大きな前進と評価できるのでは
今回の改定によって、
という改善が図られたというのが私の感想です。
これからプライバシーマークの認証を取得しようと考えている企業にとっては朗報といって良いと思います。最近のプライバシーマークの審査基準の不明確さや審査員による指摘事項のばらつきも問題となっていますので、今回の改定により、規格の解釈や審査基準も見直されることでしょう。
逆に、すでに認証を取得している企業にとっては少なからず文書などの見直しが必要になってきます。「うわぁ、面倒くさい」と思わずに、せっかく改善された規格ですので、これを機にスリムにできるチャンスと捉えてトライしてみてはいかがでしょうか。
Newsletter
メールニュースでは、本サイトの更新情報や業界動向などをお伝えしています。ぜひご購読ください。