個人情報保護法 が制定されたことと、 JIS Q 15001:1999 は2004年３月で改訂タームの５年を迎えるため、 改訂されると思われますが、 1999 年版をベースに独自の解釈を含めて、 書籍や他のウェブサイトでは書かれてないことを中心に“概略を”解説します。 細かい話は左のメニューカラムから選んでください。

　まず、 JIS Q 15001:1999 は、オンライン／オフラインなどの入手経路を問わず、 顧客情報以外にも、社員情報や 採用情報 など、 自社内で保有する 個人情報 について適用されます。 “情報主体”という一般的ではない記述が使われていますが、 これは「Data Subject」をそのまま訳したためであると思われますが、 要は“当該本人”を指しています。 また、全体の記述内容としては、

• マネジメントシステム的な要求事項
  　〜〜の手順を確立し、維持しなければならない
• 具体的な実施対策の基準
  　〜〜の措置を講じなければならない

という２つの側面が混在で書かれてあるのも、 多くの人が取っ付きにくい理由ではないかと思われます。 項番体系としては、 ISO 14001:1996(JIS Q 14001:1996) や OHSAS 18001:1999(労働安全衛生マネジメント) と 同じような PDCA 順に並んでます。

4.1 一般要求事項
4.2 個人情報保護方針
4.3 計画	Plan
4.4 実施及び運用	Do
4.5 監査	Check
4.6 事業者の代表者による見直し	Act

　ただし、14001 や 18001 に比べ、「4.4 実施及び運用」には

4.4.2 個人情報の収集に関する措置
4.4.3 個人情報の利用及び提供に関する措置
4.4.4 個人情報の適正管理義務
4.4.5 個人情報に関する情報主体の権利

の“具体的な実施対策”が書かれてあります。 「4.4 実施及び運用」は、 個人情報を扱ってない部署もあるかと思いますので、 全社単位である必要はなく、 部署や事業毎の“実施単位”で問題ないかと思います。 よって、 JIS Q 15001:1999 は、大まかに３つに分類できるかと思います。

Ⅰ	4.4 以外	全社単位
Ⅱ	下記以外の 4.4	部署・部門単位(全社共通でも可)
Ⅲ	4.4.2 〜 4.4.5	事業・サービス毎(全社共通や部門単位でも可)

　「〜でも可」と書いてあるのは、要件さえ満たしていれば共通でもよいし、 “メリハリ”をつけてもよい、ということになるかと思います。 このあたりのデザインは、事業の内容や規模、個人情報を取り扱う部署の割合など、 事業者の特性に依るところが大きく、一概にどうとは言えないと思います。