５月に 個人情報保護法(保護法) が制定され、個人情報取扱事業者が守るべき第４章は、２年以内の施行で、 今年度(平成15年度)中に、 ７条にある 「基本方針」の策定 と 保護法のガイドラインの策定作業開始 が予定されているとのことです。 細かい法律的な話は 専門家 に任せるとして、 マネジメントシステム審査的な視点から見ると、 保護法 第４章 第１節は、 JIS Q 15001:1999 での

4.3.1 個人情報の特定
4.4.2 個人情報の収集に関する措置
4.4.3 個人情報の利用及び提供に関する措置
4.4.4 個人情報の適正管理義務
4.4.5 個人情報に関する情報主体の権利
4.4.7 苦情及び相談

1. 保護法では、個人情報の定義 として、「生存する個人」の情報に限定されてます。
2. 保護法では、“個人情報”の他に、 個人情報を構成する個々のデータについて“個人データ”と定義されました。
3. JIS Q 15001:1999 では 保有 している個人情報が対象なのに対し、 保護法では、取り扱う 個人情報が対象である。
4. 保護法自体には、機微情報 の概念がありません。
   ※限定列挙が難しいのか、他の法令を参照するのか？？？
5. 保護法では、収集(取得)に関して、 直接・間接を区別してない記述になっています。 たぶんこれは、JIS Q 15001:1999 と違って、 必ずしも個別の通知を必要とせず、 「ウェブサイトなどでの“公表”でも可」ということに依るのかもしれません。
6. 委託を受ける分については、収集(取得)時の通知／公表の免除が明確に記述されていない。
7. 保護法では「共同利用(保管)」の概念ができましたが、 JIS Q 15001:1999 で言うと、 「相互に“提供”と“間接収集”を行っているスタイル」かと思われます。

　そもそも 委託を受ける側 は、 “委託契約によって”、一部の責任と権限を移譲されていると思います。 個人情報(個人データ)自体も、 保有 と言うより、委託元から 借りている ことになるでしょう。 よって、保護法でも JIS Q 15001 と同様、 委託元は取得(収集)の際に情報主体(本人)へ委託先名まで通知する必要もなく、 委託先は取得(収集)の際に同意や通知／公表が必要ない、 ということになるじゃないかと思います(たぶん)。 そういう風に考えていくと、 JIS Q 15001:1999 は保護法を十分満たしているということが言えるのではないかと思います。

　事業者にとってみると、 保護法 ができるまでは「METIガイドライン／JIS Q 15001」のひとつの基準軸しかなかったのですが、 これからは

“下限”(法律)|<--------->|(JIS)“望ましい”レベル

　政令 はでましたが、個人情報保護に関しては、 判例や経産省や業界団体などのガイドラインなど “基準値”となる“具体事例”が待たれるところです。 マネジメントする側から見ると、 基準値ギリギリを守るというのはなかなか難しいかと思います。 誤差の幅を考え、リスクマネジメント的な“安全マージン”を持って、 高いレベルの実施をすべきかと思います。 参考になる事例として、例えば環境マネジメント(EMS)では、 国や地方自治体が定めた排水基準などを守ることは当たり前のこととして、 法令を遵守することだけではなく、＋α として、 どれだけ地球環境にやさしいかをアピールする目的もあるかと思います。

　実施レベルに限らず、 “機微情報”など、 保護法に記述がない事項に関しても、 組織防衛としてみた場合、他のトラブルを防ぐ上で、 “リスク管理”的に意識する必要があるでしょう。 下限ギリギリをチャレンジするのも CS(顧客満足)的に如何なものかと思いますし、 「CP 違反＝法律違反」ということが従業員保護の立場に立ってどうか、 経営的に合理的かどうかなどなど、 いろいろマネジメントシステム的に考えるべき点があるかと思います。 そういう風に考えていくと、 保護法 と JIS Q 15001:1999 とでは、役割分担 ができるのではないかと思います。

　JIS Q 15001:1999 は 2004年３月に制定から改訂タームの５年を迎え、 JIS Q 15001 の改訂の予定があると思うのですが、 個人的には JIS Q 15001 を改訂するのであれば、記述がかなり重複している 4.4.2〜4.4.5 など は削除して ISO 14001 や OHSAS 18001 みたいに「運用管理」とするとすっきりするかもしれません。 なお プライバシーマーク事務局 では、 JIS Q 15001:1999 に関する 改訂のコメント・意見・質問などを受け付けてます。