|
個人情報保護法
が制定されたことと、
JIS Q 15001:1999
は2004年3月で改訂タームの5年を迎えるため、
改訂されると思われますが、
1999 年版をベースに独自の解釈を含めて、
書籍や他のウェブサイトでは書かれてないことを中心に“概略を”解説します。
細かい話は左のメニューカラムから選んでください。
まず、
JIS Q 15001:1999
は、オンライン/オフラインなどの入手経路を問わず、
顧客情報以外にも、社員情報や
採用情報 など、
自社内で保有する
個人情報 について適用されます。
“情報主体”という一般的ではない記述が使われていますが、
これは「Data Subject」をそのまま訳したためであると思われますが、
要は“当該本人”を指しています。
また、全体の記述内容としては、
- マネジメントシステム的な要求事項
〜〜の手順を確立し、維持しなければならない
- 具体的な実施対策の基準
〜〜の措置を講じなければならない
という2つの側面が混在で書かれてあるのも、
多くの人が取っ付きにくい理由ではないかと思われます。
項番体系としては、
ISO 14001:1996(JIS Q 14001:1996) や
OHSAS 18001:1999(労働安全衛生マネジメント) と
同じような PDCA 順に並んでます。
-
| 4.1 一般要求事項 | |
| 4.2 個人情報保護方針 | |
| 4.3 計画 | Plan |
|---|
| 4.4 実施及び運用 | Do |
|---|
| 4.5 監査 | Check |
|---|
| 4.6 事業者の代表者による見直し | Act |
|---|
ただし、14001 や 18001 に比べ、「4.4 実施及び運用」には
-
4.4.2 個人情報の収集に関する措置
4.4.3 個人情報の利用及び提供に関する措置
4.4.4 個人情報の適正管理義務
4.4.5 個人情報に関する情報主体の権利
の“具体的な実施対策”が書かれてあります。
「4.4 実施及び運用」は、
個人情報を扱ってない部署もあるかと思いますので、
全社単位である必要はなく、
部署や事業毎の“実施単位”で問題ないかと思います。
よって、
JIS Q 15001:1999
は、大まかに3つに分類できるかと思います。
| T | 4.4 以外 | 全社単位 |
| U | 下記以外の 4.4 | 部署・部門単位(全社共通でも可) |
| V | 4.4.2 〜 4.4.5 | 事業・サービス毎(全社共通や部門単位でも可) |
「〜でも可」と書いてあるのは、要件さえ満たしていれば共通でもよいし、
“メリハリ”をつけてもよい、ということになるかと思います。
このあたりのデザインは、事業の内容や規模、個人情報を取り扱う部署の割合など、
事業者の特性に依るところが大きく、一概にどうとは言えないと思います。
|