プライバシーマーク入門講座(連載:第6回) |
2007/08/16 木曜日 14:26:48 JST | ||
「個人情報保護マネジメントシステム」の構築に向けて(第1回) そこで、今回からはプライバシーマークの付与の前提である、「個人情報保護マネジメントシステム」の構築について述べてゆく。 「JIS Q 15001:2006個人情報保護マネジメントシステム-要求事項」(以下JISと示す)の解説には"「個人情報の保護に関する法律」に基づく個人情報保護ルール及びマネジメントシステムを併せ持った規格"であると述べられているが、「個人情報保護マネジメントシステム」については次の3つの面から考えた方が分かりやすい。 ① マネジメントシステムである。 ② 個人の権利を保護するシステムである。 ③ 安全管理のシステムである。 これらは、JISの中で明確に分けて定義しているわけではないし、また厳密に区分けができるものでもないが、このような捉え方をするとISMS(ISO-27001)、ISO-9001や14001を経験された方には、JIS Q 15001やPマークに対する理解が早まると思う。 (1)マネジメントシステムである。 "マネジメントシステム"とは、すなわち経営管理システムであることである。 経営が存在するのは企業だけではないが、企業は組織体として、法人としての格(人間とすれば人格のようなもの)を持ち、中にいる従業員は変わっても、企業としては永続してゆくものである。 そのような企業や組織体を運営することが"マネジメント"であり、その仕組みが"マネジメントシステム"である。 "マネージ"とは、"管理、制御を行い成し遂げる"という意味を持っている。 企業は理念を持ち、目的、目標、方針をもって運営され、経営目標としての、短期、中期、長期の目標が設定され、その達成に向けて"マネージ"されている。 その"マネージ"されるものの一つとして、「個人情報の保護」があると考えていただきたい。 また、企業は社会に受け入れられ、社会との相互作用において利潤を上げ、社会に還元し、社会に貢献してゆくには、倫理観、道徳性、使命感をもって日々の活動を行なうことが求められ、それが企業の社会的責任である。 企業をマネージして行くためには、利潤(業績)だけでなく、上記のような観点から、色々な要素を管理下に置いて、管理、制御を行い成し遂げて行かなければならない。 マ ネジメントシステムとして規格化されているものとしては、「ISO 27001(JIS Q 27001、ISMS)情報セキュリティ」、「ISO 9001(JIS Q 9001)品質」や「ISO 14001(JIS Q 14001)環境」等がある。 これらの規格は、企業のマネジメントシステムを情報セキュリティ、品質、環境の面から捉えて規格化したものである。 これらにおいては、マネジメントシステムの基本として、また、方針を設定し、その下で計画、実施、運用、監査、事業者の代表者による見直し、等を通して、継続的な改善を図る、PDCAのマネジメントサイクル(経営管理サイクル)を回すことを要求している、また内部規定を整備して、文書管理、記録の管理等を行うことも要求している。 これは、JIS Q 15001(個人情報保護マネジメントシステム(Pマーク))も全く同様である。 (2)個人の権利を保護するシステムである。 「JIS Q 15001:2006個人情報保護マネジメントシステム-要求事項」はその生い立ちを遡ると、「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」(OECD8原則)に到る。 その中では、個人の権利の保護について次のように述べられている。 -【外務省「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告(1980年9月)(仮訳)】より-
JIS Q 15001はこのような「OECD8原則」を経営において実践するための「マネジメントシステム」であり、「個人の権利を保護する」システムであり、個人データは安全に保護されものであるという点から「個人情報の安全管理のシステム」でもある。 JIS規格の要求事項の半分は、狭義な意味での「個人の権利の保護」に関する事項である。 個人の権利の保護に関する部分としては、"個人の権利の保護する上において、どのように個人情報を取得し、利用し、提供を行ってゆけば良いか(JIS 3.4.2)" 、また、"取得された個人情報に対し、個人はその開示、訂正、削除を求める権利や利用・提供を拒否する権利を持っており、それらをどのように扱って行くべきか(JIS 3.4.4)"等がある。 (3)「安全管理のシステム」である。 「OECD8原則」の5番目(安全保護の原則)11.条が"安全保護の原則"となっており、"個人データは、その紛失もしくは不当なアクセス、破壊、使用、修正、開示等の危険に対し、合理的な安全保護措置により保護されなければならない。"と述べられている。 企業において、「個人情報保護マネジメントシステム」を構築する場合は、安全管理のシステムを独立させて考えたほうが分かりやすい。 また「個人情報保護マネジメントシステム」を企業における「マネジメントシステム」として運用して行くことを考えた場合、個人情報の保護だけでなく、企業の機密情報の保護を考えたマネジメントシステムへと拡張して行くことも考えた場合、企業における、情報の安全管理のシステムとしての視点を入れたほうが良い。 JIS規格においては、安全管理の要求事項は、"JIS 3.4.3適性管理"に示されているだけである。 "JIS3.4.3適性管理"には、"3.4.3.1正確性の確保、3.4.3.2安全管理処置、3.4.3.3従業者の監督、3.4.3.4委託先の監督"の4項目だけが含まれている。 特に、この中で一般に言われる事故防止の安全管理処置については"3.4.3.2安全管理処置"に2行記述されているだけであることに注意する必要がある。 すなわち、「事業者(企業)が検討して必要かつ適切な処置を自己責任で決めて実施しなさい。」ということになっている。 後日の回で詳細は述べるが、リスク分析の結果をベースに、「JIS Q 27001(ISMS) 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項」、「JIS X 5080 情報技術-情報セキュリティマネジメントの実践のための規範」、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(経済産業省のガイドライン)」等を参考に「安全管理のシステム」を構築して行くのが良い。 (中小企業診断士 中村 隆昭) |