一般財団法人日本情報経済社会推進協会
電子情報利活用研究部　主幹 恩田　さくら

• 「IT-Report2023 Winter」全文はこちらから

「JIS Q 15001 個人情報保護マネジメントシステム—要求事項」は、事業者が大量の個人情報を扱い、個人情報の適切な利用及び保護が極めて重要となるなか、各事業者におけるマネジメントシステムによる個人情報保護の取組みを促進し、高度情報通信社会の健全な発展及び消費者保護を目的として、1999年に個人情報保護に関するコンプライアンス・プログラムの要求事項として制定されました。この規格の制定後、情報技術の発展に伴い、個人情報の保護の必要性が一層高まるとともに、個人情報保護法が2003年に制定され、2007年4月からの全面施行を迎え、規格を取り巻く環境が大きく変化したことを受け、2006年に個人情報保護法に基づく個人情報保護ルール及びマネジメントシステムをあわせもった規格へ改訂されました。その後複数回の改訂を経て、2023年9月20日に、JIS Q 15001：2023が発行されました¹。

2023年版規格は、令和2年改正個人情報保護法（2020年6月12日公布、2020年12月12日一部施行、2022年4月1日全面施行）及び令和3年改正個人情報保護法（2021年5月19日公布）が公布され、これらの改正法に整合する規格とするため、改正が行われています。なお、令和2年改正個人情報保護法では、仮名加工情報、個人関連情報などが新しく定義されるとともに、保有個人データにかかる規律が変更されており、それらへの対応がなされています。

また、組織のマネジメントシステム規定は、2017年版規格では、ISO/IEC専門業務用指針　第1部統合版ISO補足指針の付属書SLを参考に、原則として規格の本体に規定されることとされつつ、それ以前の版の要求事項の基本的な考えを変更しないこととしたため、2017年版規格の付属書Aには、マネジメントシステム規定と、個人情報保護法に対応する規定の両方が含まれていました。そのため、2017年版規格本体のマネジメントシステム規定と、附属書Aに含まれるマネジメントシステム規定との対応がわかりにくい状況があり、今回の改正においては、2017年版規格の付属書Aのうち、マネジメントシステム規定は、規格の本体に規定を設けることとし、2023年版規格の付属書Aは、改正個人情報保護法の内容に対応する規定として整理されました。

これまで、この規格の適用範囲は、個人情報取扱事業者を単位とすることが想定されてきました。一方で、組織の形態は、必ずしも事業者単位ではなく、カンパニー制などのように事業者の一部または複数の事業者を対象とするマネジメントシステムの運用も想定されるところ、規格利用者が、事業者単位に限定されず、組織の形態に応じた個人情報保護マネジメントシステムに適用可能な規格とするための改正も、併せて行われています。

• 1　「JIS Q 15001 個人情報保護マネジメントシステム−要求事項」（一般財団法人日本規格協会、2023年9月）を参照。