JIS Q 15001 改正に至る経緯

印刷

一般財団法人日本情報経済社会推進協会(JIPDEC)
認定個人情報保護団体事務局
事務局長
篠原 治美 氏

1.はじめに

 「個人情報保護マネジメントシステム-要求事項」(JISQ15001:2017)」は、工業標準化法に基づき、日本工業標準調査会の審議を経て、2017 年12 月20 日に改正された。
 今回の改正は、約10 年ぶりに個人情報保護法が改正されたことによるもので、改正法に合わせた内容の改正もさることながら、構造的にも大きく変わっている。ただし、個人情報保護の本質は変わらないことから、事業者の対応も大きく変っているわけではない。

2.1999年版JIS制定の経緯

 プライバシー・個人情報の取り組みを制度としてどのように保護するかについて日本で議論するきっかけとなったのは、1980年(昭和55年)のOECDの「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」であった。(OECD8原則)
 これを受けてわが国では、1988年(昭和63年)に行政機関個人情報保護法が制定され、公的分野の規律が先行されることとなったが、民間分野を対象とする法制化は将来的検討課題となった。
 経済産業省(当時通商産業省)から、1989年(平成元年)に民間部門での自主的な取り組みとして、「民間部門における電子計算機処理に係る個人情報の保護について」が公表された。
 さらに、1995年(平成7年)EU個人データ保護指令を受けて、より一層の個人情報保護策を求められEU指令に沿った個人情報の推進を図る必要性から1997年(平成9年)「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」が改訂、告示された。
 また、1998年には、ガイドラインを基準とした第三者評価認証制度であるプライバシーマーク制度が創設され、それを活用することで個人情報保護の一層の取り組みの促進が図られた。
 ただし、このような取り組みが、経済産業省ガイドラインを基準としていたため、経済産業省の管轄する関係業界に限られる恐れを懸念し、業種横断的な取り組みが必要と考え、ガイドラインをJIS化しようということになった。
 そのような背景の元、JIS Q 15001は1999年(平成11年)にコンプライアンス・プログラムとして制定された。当初は、民間部門における個人情報の取扱いを規律する法令が存在せず、民間部門の自主的な取り組みに委ねられていた。
 コンプライアンス・プログラム版のJIS Q 15001:1999の要求事項の基礎となった基準は、EUの個人データ保護指令である。したがって、JIS規格はEUの個人データ保護指令にならってわが国における個人情報保護へのコンプライアンス、つまり法令遵守に必要な取り組みを定めたものである。

3.2006年版JIS改正の経緯

 2003年に個人情報保護法が制定され、法定の義務として個人情報取扱事業者の義務が法律で明記され、従来からの自主的な取り組みとしてのコンプライアンスから、文字通りの法律に基づく法令遵守としてのコンプライアンスへと移行した。
これに伴い、2006年の本規格の改正は、マネジメントシステム規格に準拠する規格として、法令遵守を達成する上で必要な取り組みを組織的、体系的に定める上で必要な指針としてのマネジメントシステムに移行するための改正となった。
 当初、法律が制定されていなかった段階においては、コンプライアンスを目的とした「コンプライアンス・プログラム」であった本規格は、その後、個人情報保護法制定後に法令遵守を達成するための「マネジメント・プログラム」へと大きく変化をしたこととなる。
 その後、JISには5年に1度の見直し要件があるが、法改正議論を見据えて、本文の改定は行わず、2010年(平成23年)に解説の改訂および表示事項整理票を追加し規格の利便性を向上させるための「確認」として公表された。

4.2017年版JIS改正の経緯

 今回の改正は、個人情報保護法が2015年9月に改正され2017年5月30日に全面施行となったことによるものである。
 法律に用語の平仄を合わせ、管理策を追加し、マネジメントシステム規格としての位置づけをより明確化にするために、規格の構成を見直すこととなった。
 法改正に伴い、各主務大臣が保有していた個人情報保護法に関する勧告・命令等の権限が個人情報保護委員会に一元化され、個人情報保護法に関する問い合わせや漏えい等事案への対応は、包括委任分野を除き、原則、個人情報保護委員会によって行われることになった。
 執行権限が個人情報保護委員会に移管されたことにより、経済産業省の個人情報保護法の執行の際の基準となる「経済産業分野ガイドライン」が廃止され、今後経済産業省が作成をするJIS Q 15001に法解釈を盛り込むことができなくなった。
 よって、改正個人情報保護法による法執行体制の移行により、本規格は、個人情報保護委員会における法の執行の際の基準となる指針とは別の指針としての位置づけの明確化が必要になった。
 2017年版は、個人情報保護法に基づく指針ではなく、工業標準化法に基づくマネジメントシステムであることを明確にしたことになる。
 個人情報保護法の上乗せガイドラインとしての役割を担うものではなくなり、改正前のJISとはその存在意義が多く異なることとなる。

5.改正された規格の構造

 今回の改正は、本規格のマネジメントシステム規格としての位置づけの明確化、平成29年5月30日に改正個人情報保護法が全面施行されたことを受けて用語の平仄を合わせるとともに管理策等を追加することが主たる目的である。
 なお、改正に当たっては、この規格が民間部門の個人情報保護の促進及び消費者保護に重要な役割を果たしていることから、要求事項の基本的な考え方を変更せず、旧規格に基づいて構築された個人情報保護マネジメントシステムがこの規格の改正によって不適合を生じないことに配慮している。
 2017年版は、マネジメントシステムに関する要求事項を記載した本文と、管理策を記載した附属書A(規定)とに分離した規格票の構成となっている。さらに、附属書Aの理解を助けるための参考情報を記載した附属書B(参考)及び附属書C(参考)、並びにこの規格と旧規格との対応を示した附属書Dの構成から構成されている。
 2006年版までは、規格の本体および解説で構成されており、マネジメントシステム構成要素に加え、マネジメントシステムの対象である個人情報についての取扱いに関する法的解釈が含まれたルールが規定されていた。そのため、今後の個人情報保護法等の改正や技術的進歩による対応を踏まえたメンテナンスの必要性や、他のマネジメントシステム規格との整合性確保の観点から、規格の構成について検討が行われた。
 個人情報保護と、情報セキュリティとは安全管理措置の点で共通する事項が多いことから、統合版ISO補足指針の付属書SLに整合したマネジメントシステム規格として先行して制定されているISO27001を参考とした。
 ただし、本規格に対応するISO規格は現時点では存在しない。そのため付属書SLに完全に準拠しているわけではない。対応するISO規格が存在しない時点で、ISO規格に近接した規格構成としたことは大きな意義がある。

6.おわりに

 JIS Q 15001は、個人情報保護法の存在しない時期のコンプライアンス・プログラムとしての時期から、個人情報保護法に基づくマネジメント・システムへ、そして工業標準化法に基づくマネジメント・システムへと変化をしてきた。
 ただし、個人情報の取扱いについてのリスクは情報セキュリティとは違い、法令順守の観点から個人情報保護法上の対応をしなければならないとなること、要するに個人情報保護法に定められた事項を残留リスクとすることはできないというところは注意が必要である。

※ 著者の篠原治美氏は、前職である経済産業省商務情報政策局情報経済課において、法執行専門職員として数々の情報政策に携わり、JISQ15001改正に際しても中心的な役割を果した(編集部)。