プライバシーマークと個人情報保護法とガイドラインの関係(JIS Q 15001:2017)
プライバシーマーク制度の基準規格である「JIS Q 15001:2017」では、2017年に改正個人情報保護法が全面施行されたことを受け(現行は、2022年4月改正版)、用語及び定義を合わせる共に、管理策等を追加するなどの改正がなされ、個人情報についての取扱いに関するルール(法令事項を含む)として「附属書A(規定)」が分離されました。また、個人情報保護法を補うものとして、新たに「個人情報保護法ガイドライン」4種(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、匿名加工情報編)」が発行されました。
※「匿名加工情報編」は、2022年4月改正にて「仮名加工情報・匿名加工情報編」に変更されました。
上記のような理由から、これら、JIS Q 15001:2017および個人情報保護法、個人情報保護法ガイドライン(通則編)においては、それぞれに関連する項目が存在し、同し目的を意図した内容となっています。
上図では、それらの項目の関連性を一覧で示すことで、JIS規格および法律、ガイドラインの理解を深めて頂ければと思います。
プライバシーマーク制度とJIS Q 15001:2017
1989年に、当時の通商産業省が個人情報保護に関するガイドラインを策定し、翌年、これを基準とした第三者評価認証制度である「プライバシーマーク制度」が開始されました。ただ、この取り組みは、通商産業省のガイドラインを基礎としていたため、業種業態を超えた取り組みが必要との考えにて規格したのが、JIS Q 15001です。
その後、JIS Q 15001は、個人情報法制定後に法令遵守を達成するためのマネジメントシステム規格への移行し、2017年改正では、マネジメントシステム規格としての位置づけの明確化を図るための規格構成の見直しがなされた。
2017年に改正個人情報保護法が全面施行されたことを受け、用語及び定義を合わせる共に、管理策等を追加するなどの改正がなされた。
管理策以外の個人情報保護法の改正に伴い追加又は変更された要求事項は,次のとおりである。
- “特定の機微な個人情報”を,“要配慮個人情報”に変更した。
- 旧規格では“個人情報”としていた要求事項の一部を,個人情報保護法の規定に合わせて“個人データ”に変更した。
- “開示対象個人情報”を“保有個人データ”に変更した。
- 外国にある第三者への提供の制限を追加した。
- 第三者提供に係る記録の作成などを追加した。
- 第三者提供を受ける際の確認などを追加した。
- 匿名加工情報を追加した。
規格の構成は、マネジメントシステムとしての「規格本文」と、個人情報についての取扱いに関するルール(法令事項を含む)としての「附属書A(規定)」とに分離されました。
個人情報保護法
正式な法律名は、「個人情報の保護に関する法律」(法律番号:平成15年法律第57号)と言い、利用者や消費者が安心できるように、企業や団体に個人情報をきちんと大切に扱ってもらった上で、有効に活用できるよう共通のルールを定めた法律です。
個人情報を取り扱う「すべての事業者」に個人情報保護法が適用されます。
この法律の「第4章 個人情報取扱事業者の義務等」にて、個人情報を取り扱う事業者の遵守すべき義務等が定められています。
国は事業者に対して、必要に応じて報告を求めたり立入検査を行うことができ、実態に応じて、指導・助言、勧告・命令を行うことができます。事業者は、監督に従わない場合、罰則が適用される可能性があります。
個人情報保護法ガイドライン(通則編)
事業者が個人情報の適正な取扱いの確保に関して行う活動を支援すること、及び講ずる措置が適切かつ有効に実施されることを目的として、個人情報の保護に関する法律に基づき具体的な指針として定められたものです。
なお、法の規定のうち、以下に関しては、各々について分かりやすく一体的に示す観点から、別途定めていおります。
- 第24条(外国にある第三者への提供の制限)
「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」 - 第25条(第三者提供に係る記録の作成等)及び第26条(第三者提供を受ける際の確認等)
「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」 - 第4章第2節(匿名加工情報取扱事業者等の義務)
「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編仮名加工情報・匿名加工情報編)」
ガイドラインにて、「しなければならない」及び「してはならない」と記述されている事項に従わなかった場合は、法違反と判断される可能性があります。
また、「努めなければならない」、「望ましい」等と記述されている事項については、従わなかったために直ちに法違反と判断されることはないが、事業者の特性や規模に応じて、可能な限り対応することが望まれています。
※個人情報保護法および個人情報保護法ガイドライン各種は、個人情報保護委員会(PPC)ホームページ上)にて入手可能です。