このエントリーをはてなブックマークに追加  
 [PR] 企業向けeラーニングサービス e 研修 【S-LMS+】
シンプルeラーニング研修

 個人情報の取扱いJISQ15001と個人情報保護法の違い

個人情報保護法とJISQ15001では対象となる個人情報の定義に違いがあります。

個人情報保護法は検索可能な状態の個人情報を5001件以上保有していると保護法の対象となり、
JISQ15001では手書きのメモ一枚でも個人情報として管理する必要があります。

 個人情報保護法での個人情報の定義と対象事業者


個人情報取扱事業者


個人情報保護法では検索可能な個人データを5001件以上6ヶ月以上継続して保有する民間事業者のことを 「個人情報取扱事業者」と定義してこの法律の対象になるとしています。

個人情報データベース等(索引等が付いていれば紙のファイルも該当)の構成件数が5千件以下ならこの法律の対象外となります。

もちろん個人情報保護法の対象事業者であるから、個人情報の流出で即、罰則が適用されるわけではありません。 (刑罰は主務大臣の指導等に従わなかった場合です)

また対象事業者ではないからといって個人情報の流出で社会的制裁がないわけでもありません。 (イメージダウン、お詫びの商品券、顧客リストの壊滅)

「個人情報取扱事業者」には取り扱う情報の3つの定義(「個人情報」「個人データ」「保有個人データ」)に 応じて取り扱いの義務が規程されています。

個人情報の種類

【「個人情報」「個人データ」「保有個人データ」の包含関係】


個人情報


「個人情報」とは生存する個人の情報、氏名、生年月日、性別、住所など特定の個人を識別できる情報のことです。

社員番号、電話番号、メールアドレス、防犯カメラの映像など他の情報との組み合わせで特定の個人を識別できればその情報も「個人情報」となります。

法人や団体、死者はの情報は個人情報に該当しません。

【POINT】
JIS Q 15001 では死者の情報(歴史上の人物は除く)も個人情報として扱っています。

【個人情報保護法】
  第15条(利用目的の特定)
  第16条(利用目的による制限)
  第17条(適正な取得)
  第18条(利用目的の通知)
  第31条(苦情処理)
の義務に該当します。

個人データ


「個人情報データベース等」を構成する「個人情報」のことを「個人データ」と いいます。

【個人情報保護法】
  第19条(データ内容の正確性の確保)
  第20条(安全管理措置)
  第21条(従業者の監督)
  第22条(委託先の監督)
  第23条(第三者提供の制限)
の義務に該当します。

保有個人データ


「個人情報取扱事業者」が、開示、内容の訂正、追加又は削除、利用の停止、 消去及び第三者への提供の停止を行うことのできる権限を有する「個人データ」のこと。

【個人情報保護法】
  第24条(保有個人データに関する事項の公表等)
  第25条(開示)
  第26条(訂正等)
  第27条(利用停止等)
の義務に該当します。

個人情報データベース等


「個人情報」を含む情報を、媒体を問わずに検索可能なデータ管理システムのことです。



コンピュータで容易に検索できるデータベースだけでなく、電子データではなくても、目次や索引別にファイリングされていたら紙の情報も個人情報データベースに該当します。



【POINT】
個人情報が整理分類されていない場合は個人情報データベースに該当しません。
あくまで検索が可能なものです。
例)50音順にファイルした名刺、顧客リスト、従業員人事管理情報

本人


「個人情報」によって識別される特定の個人のこと。

 JISQ15001での個人情報の定義と対象事業者


JISQ15001規格は個人情報保護法より個人情報の保護のハードルが高くなっている分 個人情報の定義も厳しくなっています。

個人情報の保有件数や期間「個人データ」や「保有個人データ」といった考え方はありません。


紙のメモ一枚からでもJISQ15001規格の要求を満たす場合は個人情報として取扱います。

個人情報


「個人情報」とは生存する個人の情報、氏名、生年月日、性別、住所 など特定の個人を識別できる情報のことで、他の情報との組み合わせで特定の個人を識別できればその情報も「個人情報」となります。

ここまでは個人情報保護法の定義と同じですが、JIS Q 15001 では死者の情報(歴史上の人物は除く)も個人情報として扱っています。

また「個人情報」「個人データ」「保有個人データ」といった分類はありませんが「機微な個人情報」の取得、利用制限といった概念があります。

個人情報の保有件数や検索できるかどうかは問題とされません。紙のメモ一枚でも個人情報としてJISQ15001規格の対象となります。


JISQ15001規格では個人情報が記入されていれば、メモ一枚の廃棄まで確認してエビデンスを残す必要があるとということです。

事業者


個人情報を事業に用いている全ての事業者のことです。JISQ15001規格を用いてPMS(個人情報保護マネジメントシステムを)構築したい事業者全てが対象になります。


個人情報保護管理者


PMS(個人情報保護マネジメントシステムを)の実施と運用の責任者のことです


個人情報保護監査責任者


年に一回監査の実施として報代表者に報告する責任者のことです





 【コラム】

1980年に採択されたOECDのガイドラインには「個人情報」の「保護」だけでなく「自由な活用」も強調されています。

ブレーキとアクセルを同時に踏むような話ですが、企業活動が個人情報保護のため萎縮しないための配慮と考えられます。

日本で個人情報保護の法律の整備が欧米より数年遅れたのは、 個人情報保護に関して企業の負担するコストに、経済界から強い反発があったからだといわれています。

発展する中国の公害問題が取りざたされています。
日本も高度成長期には輸出製品のコストを押さえるため、公害がわかっていても防止措置をあえて無視していた時代もありました。

しかしいまは公害防止の基準を満たしていない企業は国内で生き残ることは難しいと考えられます。

個人情報の「保護」と「活用」も、何を生かして何を我慢するかのトレードオフの関係にあります。




プライバシーマークの取得過程をを具体的に知りたい 取得要件を満たす事業者とは



一般財団法人日本情報経済社会推進協会
よくわかるプライバシーマーク制度
JISQ15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第1版-
JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第2版-


【当社(アーチ株式会社)プライバシーマーク取得支援コースです】
プライバシーマーク取得費用1分自動お見積り プライバシーマーク取得 「込みこみ」【松】コース詳細 プライバシーマーク取得 「スタンダード」【竹】コース詳細 プライバシーマーク取得 「自社活用」【梅】コース詳細
ISMS取得費用

Tel  03-6304-8088 ( 10時~18時、土日祝除く )  Fax 03-6304-8089 ( 24時間 )

Copyright(C) 2011 ★プライバシーマーク・ISMSコンサルティング アーチ株式会社   メールでのお問い合せ