2007/08/16 木曜日 14:26:48 JST |
「個人情報保護マネジメントシステム」の構築に向けて(第1回)
~ 個人情報保護マネジメントシステムを理解するために~
前回までに、企業はプライバシーマークの取得を通して「個人情報保護マネジメントシステム」を構築し、その中で安全管理措置を整備して、自ら個人情報の不正流出を防いで行くことが必要であることを述べた。
そこで、今回からはプライバシーマークの付与の前提である、「個人情報保護マネジメントシステム」の構築について述べてゆく。
「JIS Q 15001:2006個人情報保護マネジメントシステム-要求事項」(以下JISと示す)の解説には"「個人情報の保護に関する法律」に基づく個人情報保護ルール及びマネジメントシステムを併せ持った規格"であると述べられているが、「個人情報保護マネジメントシステム」については次の3つの面から考えた方が分かりやすい。
①
マネジメントシステムである。
②
個人の権利を保護するシステムである。
③
安全管理のシステムである。
これらは、JISの中で明確に分けて定義しているわけではないし、また厳密に区分けができるものでもないが、このような捉え方をするとISMS(ISO-27001)、ISO-9001や14001を経験された方には、JIS
Q 15001やPマークに対する理解が早まると思う。
(1)マネジメントシステムである。
"マネジメントシステム"とは、すなわち経営管理システムであることである。
経営が存在するのは企業だけではないが、企業は組織体として、法人としての格(人間とすれば人格のようなもの)を持ち、中にいる従業員は変わっても、企業としては永続してゆくものである。
そのような企業や組織体を運営することが"マネジメント"であり、その仕組みが"マネジメントシステム"である。
"マネージ"とは、"管理、制御を行い成し遂げる"という意味を持っている。
企業は理念を持ち、目的、目標、方針をもって運営され、経営目標としての、短期、中期、長期の目標が設定され、その達成に向けて"マネージ"されている。
その"マネージ"されるものの一つとして、「個人情報の保護」があると考えていただきたい。
また、企業は社会に受け入れられ、社会との相互作用において利潤を上げ、社会に還元し、社会に貢献してゆくには、倫理観、道徳性、使命感をもって日々の活動を行なうことが求められ、それが企業の社会的責任である。
企業をマネージして行くためには、利潤(業績)だけでなく、上記のような観点から、色々な要素を管理下に置いて、管理、制御を行い成し遂げて行かなければならない。
マ ネジメントシステムとして規格化されているものとしては、「ISO 27001(JIS Q 27001、ISMS)情報セキュリティ」、「ISO 9001(JIS Q 9001)品質」や「ISO
14001(JIS Q 14001)環境」等がある。
これらの規格は、企業のマネジメントシステムを情報セキュリティ、品質、環境の面から捉えて規格化したものである。
これらにおいては、マネジメントシステムの基本として、また、方針を設定し、その下で計画、実施、運用、監査、事業者の代表者による見直し、等を通して、継続的な改善を図る、PDCAのマネジメントサイクル(経営管理サイクル)を回すことを要求している、また内部規定を整備して、文書管理、記録の管理等を行うことも要求している。
これは、JIS Q 15001(個人情報保護マネジメントシステム(Pマーク))も全く同様である。
(2)個人の権利を保護するシステムである。
「JIS Q 15001:2006個人情報保護マネジメントシステム-要求事項」はその生い立ちを遡ると、「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」(OECD8原則)に到る。
その中では、個人の権利の保護について次のように述べられている。
-【外務省「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告(1980年9月)(仮訳)】より-
第2部 国内適用における基本原則
(収集制限の原則)
7.個人データの収集には制限を設けるべきであり、いかなる個人データも、適法かつ公正な手段によって、かつ適当な場合には、データ主体に知らしめ又は同意を得た上で、収集されるべきである。
(データ内容の原則)
8.個人データは、その利用目的に沿ったものであるべきであり、かつ利用目的に必要な範囲内で正確、完全であり最新なものに保たれなければならない。
(目的明確化の原則)
9.個人データの収集目的は、収集時よりも遅くない時点において明確化されなければならず、その後のデータの利用は、当該収集目的の達成又は当該収集目的に矛盾しないでかつ、目的の変更毎に明確化された他の目的の達成に限定されるべきである。
(利用制限の原則)
10.個人データは、第9条により明確化された目的以外の目的のために開示利用その他の使用に供されるべきではないが、次の場合はこの限りではない。
(a) データ主体の同意がある場合、又は、
(b) 法律の規定による場合
(安全保護の原則)
11.個人データは、その紛失もしくは不当なアクセス、破壊、使用、修正、開示等の危険に対し、合理的な安全保護措置により保護されなければならない。
(公開の原則)
12.個人データに係わる開発、運用及び政策については、一般的な公開の政策が取られなければならない。
個人データの存在、性質及びその主要な利用目的とともにデータ管理者の識別、通常の住所をはっきりさせるための手段が容易に利用できなければならない。
(個人参加の原則)
13.個人は次の権利を有する。
(a)データ管理者が自己に関するデータを有しているか否かについて、データ管理者又はその他の者から確認を得ること
(b)自己に関するデータを、
(i)合理的な期間内に、
(ii)もし必要なら、過度にならない費用で、
(iii)合理的な方法で、かつ、
(iv)自己に分かりやすい形で、
自己に知らしめられること。
(c)上記(a)及び(b) の要求が拒否された場合には、その理由が与えられること及びそのような拒否に対して異議を申立てることができること。
(d)自己に関するデータに対して異議を申し立てること、及びその異議が認められた場合には、そのデータを消去、修正、完全化、補正させること。
(責任の原則)
14.データ管理者は、上記の諸原則を実施するための措置に従う責任を有する。
|
JIS Q 15001はこのような「OECD8原則」を経営において実践するための「マネジメントシステム」であり、「個人の権利を保護する」システムであり、個人データは安全に保護されものであるという点から「個人情報の安全管理のシステム」でもある。
JIS規格の要求事項の半分は、狭義な意味での「個人の権利の保護」に関する事項である。
個人の権利の保護に関する部分としては、"個人の権利の保護する上において、どのように個人情報を取得し、利用し、提供を行ってゆけば良いか(JIS 3.4.2)" 、また、"取得された個人情報に対し、個人はその開示、訂正、削除を求める権利や利用・提供を拒否する権利を持っており、それらをどのように扱って行くべきか(JIS
3.4.4)"等がある。
(3)「安全管理のシステム」である。
「OECD8原則」の5番目(安全保護の原則)11.条が"安全保護の原則"となっており、"個人データは、その紛失もしくは不当なアクセス、破壊、使用、修正、開示等の危険に対し、合理的な安全保護措置により保護されなければならない。"と述べられている。
企業において、「個人情報保護マネジメントシステム」を構築する場合は、安全管理のシステムを独立させて考えたほうが分かりやすい。
また「個人情報保護マネジメントシステム」を企業における「マネジメントシステム」として運用して行くことを考えた場合、個人情報の保護だけでなく、企業の機密情報の保護を考えたマネジメントシステムへと拡張して行くことも考えた場合、企業における、情報の安全管理のシステムとしての視点を入れたほうが良い。
JIS規格においては、安全管理の要求事項は、"JIS
3.4.3適性管理"に示されているだけである。
"JIS3.4.3適性管理"には、"3.4.3.1正確性の確保、3.4.3.2安全管理処置、3.4.3.3従業者の監督、3.4.3.4委託先の監督"の4項目だけが含まれている。
特に、この中で一般に言われる事故防止の安全管理処置については"3.4.3.2安全管理処置"に2行記述されているだけであることに注意する必要がある。
すなわち、「事業者(企業)が検討して必要かつ適切な処置を自己責任で決めて実施しなさい。」ということになっている。
後日の回で詳細は述べるが、リスク分析の結果をベースに、「JIS Q 27001(ISMS) 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項」、「JIS X 5080
情報技術-情報セキュリティマネジメントの実践のための規範」、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(経済産業省のガイドライン)」等を参考に「安全管理のシステム」を構築して行くのが良い。
(中小企業診断士 中村 隆昭)
|