先日コンサルティングにて、「プライバシーマークの規格とは何か」についてお話してきたため、「規格って何?」というテーマでお話したいと思います。
JISQ15001:2006「個人情報保護マネジメントシステム‐要求事項」
日本産業規格(JIS)が定めた、個人情報保護に関する法令の遵守規定である「個人情報マネジメントシステムの要求事項」のことを、「JISQ15001:2006」と呼びます。
いろいろな読み方がありますが、「ジスキュー15001(イチマンゴセンイチ)」と呼ばれることが多いです。
プライバシーマークの認証取得は、このJISQ15001:2006「個人情報保護マネジメントシステム‐要求事項」を規準に審査、適合性のチェックがなされます。そして、この規格に適合していると判断されたら、晴れてプライバシーマークが付与されることとなるのです。
JISQ15001:2006は、個人情報保護法に則り会社という事業体(組織)が具体的にどのようなことをしなければならないかを詳細に定めています。
繰り返しますが、個人情報保護体制のルールを構築し、プライバシーマーク認証活動をする上で、この規格の『要求事項』を満たしていかなければなりません。
そして、この文書にはプライバシーマーク取得の上で「やらなければならないこと」、ばかりでなく、個人情報保護体制を築く上で必要な事項が詰まっています。
少し余談となりますが、現在ご紹介しているのは2006年度版ですが、2006年度版以前にも「JISQ15001:1999 個人情報に関するコンプライアンス・プログラムの要求事項」という名前でこの規格は存在していました。ですが2006年に個人情報保護法が施行され、これに対応した「JISQ15001:2006個人情報保護マネジメントシステム‐要求事項」として改訂されました。
2006年度版では、個人情報保護法で求められていることよりも、一部ではより高度な体制作りを求められています。
最初から完璧にしよう!ではない
この規格「JISQ15001:2006個人情報保護-マネジメントシステム要求事項」の特徴として、マネジメントシステム(体制作り)にフォーカスを当てているということが挙げられます。
いわゆる「PDCA」の考え方ですね。
(P:Plan(計画)→D:Do(行動)→C:Check(点検)→A:Act(処置))
噛み砕いて言うと、個人情報保護体制を構築するために、計画を立て、それを実施し、適切に運用できているのか点検し、良くない点があれば見直して改善していきましょうという「PDCA」を繰り返し安定的にまわしていくことで、組織の断続的な改善と、発展を追及していきましょう!という風に考えられているわけなのです。
規格でのPDCAのくくりは以下の通りです。
| Plan(計画) | 3.2個人情報保護方針~3.3計画 |
|---|---|
| Do(行動) | 3.4.1運用手順~3.6苦情及び相談対応 |
| Check(点検) | 3.7点検~3.8是正処置及び予防処置 |
| Act(処置) | 3.9事業者の代表者による見直し |
小難しい単語が並べてある規格ですが、このような「まとまり」があるということが分かれば、少しはストーリー性が出来てきてとっつきにくさが10%ほど軽減されたのではないでしょうか。
そして、プライバシーマーク新規取得活動を始める際、お客様に「規格は買わなければいけませんか」というご質問をいただくことがよくあります。このご質問に対する回答は「YES」です。正確には、「購入を推奨します」なのですが、規格は個人情報保体制を築いていく上での中心となるものですし、活動の中でも、今後自社でPDCAをまわしていく上でも、参照することが多くなります。ですので、会社で1冊は持っておいて悪いことはないでしょう!
また、審査の際にも、規格を持っていないとはっきりと不適合とはなりませんが、審査での心象はいいものとは言えません。。。。。
以上、規格についてでした。今回は、規格の中身ではなく、規格の概要についてのお話でしたが、少しは規格とはどのようなものかイメージを掴んでいただけたでしょうか。難しいと思っているものが少しでも身近に感じられるような記事がかけていればうれしいです。
