1.JISQ15001とは
JISQ15001とは、一般財団法人日本規格協会によって策定された日本産業規格のひとつであり、個人情報保護マネジメントシステムを定めた規格です。
また、個人情報保護マネジメントシステム(略称PMS)は、個人情報保護の体制を整え、計画→実行→監査→改善のPDCAサイクルを繰り返し行い、継続的な改善を促す仕組みを指します。
2.JISQ15001制定の経緯と目的
JISQ15001が制定された背景には、世界でプライバシー保護が問題視され始めた1980年代まで遡ります。
当初は個人情報に関する「ガイドライン」という形で発表されましたが、すぐに国内基準にするべく、JIS(日本作業規格)化され、「JISQ15001(個人情報保護に関するコンプライアンス・プログラムの要求事項) 」が誕生しました。
しかし、それにはまだ法的効力がなかったため、JIS規格とは別に「個人情報に関する法律」として2003年に初めて「個人情報保護法」が制定されました。
そして、「個人情報保護法」と「JISQ15001」の整合をとるために、「JISQ15001」が大幅改訂され、今の「JISQ15001(個人情報保護マネジメントシステム)」となりました。
JISQ15001の目的は、もちろん個人情報の保護です。
個人情報を保護するために、個人情報を適切に管理できるような組織体制を構築したり、
個人情報を保護することで消費者や取引先からの信頼が獲得できたりします。
したがって、JISQ15001は、個人情報保護に関する法令や規範を遵守し、個人情報を適切に管理することを目的とする企業にとって重要な取り組みとなるでしょう。
3.JISQ15001の要求事項
JISQ15001の要求事項は、個人情報保護マネジメントシステムに関する要求事項(Pマークのルール)について規定したものです。
事業者が取り扱う全ての個人情報に関して、このルールが適用されます。
4.プライバシーマーク(Pマーク)制度との関係
「プライバシーマーク(Pマーク)」制度は、前述した「JISQ15001」に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に基づいて作られた制度です。
「構築・運用指針」では「JISQ15001」に対し、実際に事業者がどう個人情報保護マネジメントシステムを構築し、運用していけばよいのかが記載されています。
5.プライバシーマーク(Pマーク)とは
プライバシーマーク(Pマーク)とは、個人情報保護体制に関する認証です。審査機関による審査を受け、合格となった企業に付与されるマークです。
有効期間は2年なので、維持するには2年に1度審査を受け、更新する必要があります。
プライバシーマーク(Pマーク)についてはこちらの記事でも詳しく説明しております。
6.プライバシーマーク(Pマーク)取得のメリット
個人情報保護法をもとにJISQ15001が策定されました。
プライバシーマーク(Pマーク)は、JISQ15001に基づいた制度であることから、プライバシーマーク(Pマーク)を取得した事業者は、個人情報の保護レベルが高いことを示すことができます。
具体的なメリットは、下記の通り3つあります。
1つ目は、取得後に配布されるマークを名刺やホームページなどに入れることができ、「プライバシーマークを取得している=個人情報の保護レベルが高い企業ですよ」ということを対外的にアピールすることができます。
2つ目は、顧客・取引先などからの要求や入札条件を満たすことができることです。
プライバシーマークを取得する事業者は年々増え続けていることから、取引の選定基準となることも多くなってきています。
3つ目は、社内のルールや基準が明文化されることで統制を図ることができます。
JISQ15001には、個人情報を保護するための体制整備を求める項目があるためです。
7.プライバシーマーク(Pマーク)の対象組織
プライバシーマークは、2名以上から構成されている事業者が対象となっています。
業界に制限はなく、取得企業も多種多様に存在していますが、審査を受けるにあたっては業種によって審査機関が指定されることがあります。
そのため、個人事業主は取得することができません。
また、JIPDECで定められている欠格事項(暴力団員や出会い系サイトやアプリの事業者等)にあたる場合も対象外となります。
こちらの記事でプライバシーマーク取得の条件を解説しておりますので参考にしてください。
8.Pマーク審査の特徴
プライバシーマーク(Pマーク)認証のためには、審査を受けなければなりません。
審査をするのは、審査機関の大元であるJIPDEC(一般財団日本情報経済社会推進協会)の他にも19の指定機関があり、前項にも述べたように業種や地域などで受ける審査機関が変わることがあります。
プライバシーマークの審査の特徴は、形式審査→文書審査→現地審査の3段階からなっていることです。
現地審査では、審査員が実際に事業所へ来て直接確認をしますが、事業所が他にもある場合にはそこでも審査をされます。
9.JISQ15001と個人情報保護法の違い
JISQ15001と個人情報保護法は同じように思えますが、全くの別物です。
個人情報保護法は、日本国内全ての事業者が守るべき内容です。そこにプライバシーマーク(Pマーク)の有無は関係ありません。
それに対し、JISQ15001は、個人情報保護法を踏まえて、組織として作るべきルール、運用について定めています。
要求事項の数に関して言えば、個人情報保護法よりもJISQ15001の方が厳しいと考えてよいでしょう。
10.JISQ15001 個人情報保護マネジメントシステムの要求事項入手方法
実際に要求事項を入手する方法は2つあります。
(1)日本規格協会で購入する方法
日本規格協会のホームページから、JIS規格を購入することができます。これはPDFでも冊子でも購入ができますので、自分の保存しやすい形で購入ができます。
(2)ガイドブックを購入し、その中で見る方法
ガイドブックは書店でも購入することができ、ガイドブックには審査で見られるポイントも記載しています。
プライバシーマーク(Pマーク)を取得したい、また審査を受ける際のポイントを知りたい人にとって便利かもしれませんね。
11.プライバシーマーク(Pマーク)とISMS(ISO27001)の違い
プライバシーマークの比較対象としてよく挙がるのがISMS(ISO27001)という規格です。
プライバシーマークは、JISQ15001の基準に基づく個人情報保護マネジメントシステムであり、一方、ISMSは、ISO/IEC 27001の基準に基づく情報セキュリティマネジメントシステムです。
規格名はこそ若干似ていますが、プライバシーマークは国内規格であるのに対し、ISMSは国際規格です。
制定の大元が異なるため、それぞれの規格や審査内容も異なります。
取得目的をはっきりさせ、どちらが自分たちに適したものなのかを判断しましょう。
こちらの記事でより詳しく解説しております。
まとめ
JISQ15001とは、一般財団法人日本規格協会によって策定された日本産業規格のひとつで、個人情報保護マネジメントシステムを定めた規格です。
個人情報保護マネジメントシステム(略称PMS)は、個人情報保護の体制を整え、計画→実行→監査→改善のPDCAサイクルを繰り返し行い、継続的な改善を促す仕組みのことです。
プライバシーマーク(Pマーク)は、個人情報保護法を背景に制定された第三者認証制度であり、取得することで個人情報を適切に取り扱っている事業者として認められていることになります。
認証するためには2名以上から構成された事業者であること、審査を通過することが必須です。
ISO・Pマーク認証更新でお悩みの方へ
認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。