Pマークコンサルタント:HOME >JIS Q 15001:2006 > JIS Q 15001規格解説 1〜2
Pマーク(プライバシーマーク)を認定取得する為には「JIS Q 15001:2006」に準じたマネジメントシステムを構築する必要があります。しかし、規格書を購入し、いざPMSを構築しようとして要求事項を読んでみても、要求事項には具体的に何をどうれば良いか記載していなくて、非常に大まかな表現が使用されており、良く解からないのが現状です。そこを簡単に具体例などを示してPMSを構築させ、企業をPマーク認定取得までサポートする事がコンサル会社の仕事ですが、ここでは大まかにJIS Q 15001:2006規格要求事項の解説をさせていただきます。
まずは、1項、適用範囲では企業はどこにマネジメントシステムを適用するのかという事と、2項用語及び定義について解説します。
この規格は、個人情報を事業の用に供している、あらゆる種類、規模の事業者に適用できる個人情報保護マネジメントシステムに関する要求事項について規定する。 |
※引用:JIS Q 15001:2006
【解説】
1:適用範囲では、この規格(JIS Q 15001:2006)の適用範囲(スコープ:実施すべき範囲)を定めています。ここで重要なことは「事業の用に供している個人情報」全てが対象となることです。
事業の用に供している個人情報とは、必ずしも取引先やお客様を対象とするものではありません。事業の用に供している個人情報とは、当然、自社の従業者も含まれる事になります。つまり対象は、非常勤役員や監査役、正社員、派遣社員、契約社員、パート、取引先、外注先等も含めた、企業活動を実施するにあたり利用する全ての個人情報であるということです。Pマークの審査では、従業者の個人情報の取り扱いについての質問が大きなウエイトを占めます。また、この項番だけ見てみると、Pマークは1人の企業でも認定できそうですがそうではありません。JIS Q 15001を用いる事と「プライバシーマーク制度」は違うからです。故に、プライバシーマーク制度では更に認証範囲のルール等があり、あくまで基盤としてのマネジメントシステムがJIS Q 15001だという事です(d))。1:適用範囲では、 Pマークの申請資格を満たしていな事業者もJIS Q 15001を適用し自己宣言が出来る事も規程(b))しています。ちなみにPマークの申請資格は法人単位となりますので、一部の部署にこの規格を適用する事はできず、全体に適用する事になります。(医療法人の例外除く)
2.1 個人情報 |
※引用:JIS Q 15001:2006
【解説】
2:用語及び定義では、この規格の中で使用する用語及び定義について規程しています。ここでは、個人情報の定義が、個人情報保護法とは異なることに注意する必要があります。
個人情報保護法では、個人情報とは原則として生存する個人に関する情報です。(例外的に死者の情報を含む。)しかし、JIS Q 15001では、原則として死者の情報も個人情報に含まれます。(但し歴史上の人物までは含みません。)故にPマーク制度では、死者の情報も保護対象となります。一般の企業ではあまりなじみが無いかもしれませんが、病院や葬祭業などでは大量に保有しているはずです。補足として、JIS Q 15001:1999では「本人」の事を「情報主体」と定義していましたが、個人情報保護法の施工に伴い用語を統一しています。また、プライバシーマーク制度では「個人情報保護マネジメントシステム」の事を「PMS」(Personal information protection management systems)と呼んでおり、P(Plan:方針、組織、計画)D(Do:実施)C(Check:監査)A(Act:見直し)で管理する仕組みを要求しています。
経験豊富な営業、実績豊富なコンサルタントが貴社のPマーク、ISMS構築を強力にバックアップいたします。
様々なコンサルティングメユーより、貴社のニーズを満足させた、最適なプログラムを提供させていただきます。
価格はご相談ください。ご予算の範囲内で収めるような、納得のいく低価格を実現しました。
HOME プライバシーマーク制度とは Pマーク取得メリット Pマーク取得支援サービス Pマーク取得フロー Pマーク取得費用