JIS Q 15001

JIS Q 15001（個人情報保護マネジメントシステム ― 要求事項）は、組織が業務上取り扱う個人情報を安全で適切に管理するための標準となるべく、一般財団法人日本規格協会の原案によって策定された日本産業規格の一つ。初版は1999年に制定され、2006年・2017年の改正を経て、最新版は2023年に制定された「JIS Q 15001:2023」である。

この規格では、個人情報の保護に関する法律（以下「個人情報保護法」という。）に定められる義務の遵守はもちろんのこと、組織（個人情報取扱事業者）がその事業の用に供している個人情報や個人データを把握し、個人情報保護のための資源を確保すること、その体制を定期的に見直し改善すること、そしてこれらを実践するための一連の要素（個人情報保護マネジメントシステム）をもつことなどを求めている。

JIS Q 15001は、2005年の個人情報保護法の施行に先立ち、1999年に海外での先例にならって作られた、個人情報保護におけるマネジメントシステム規格である。媒体の大容量化や通信の高速化など、情報通信を取り巻く環境の変化に合わせて、個人情報保護法と相互に影響しながら改正されている。

規格の要求事項を読み解く上では、要求事項ごとに、個人情報保護法と同じ概念か、個人情報保護法に上乗せした概念か、個人情報保護法には全く記載のない概念かを区別しながら眺めることが重要である。

組織が個人情報保護を実践するために用いるマネジメントシステムをJIS Q 15001では、個人情報保護マネジメントシステム (PMS、英語： Personal information protection management systems) と呼び^{[注釈 1]}、計画 (6章)、運用 (8章)、パフォーマンス評価 (9章)、改善 (10章) を含み^[2]、いわゆるPDCAサイクルを回すことで個人情報保護レベルを継続的に改善していくものと解釈できる^[3]。

PDCAサイクルはJIS Q 15001:2006が策定された当時、すでにISO 9001（品質マネジメントシステム）、ISO 14001（環境マネジメントシステム）、ISO/IEC 27001（情報セキュリティマネジメントシステム）などでも採用されていた^{[3][注釈 2]}。

JIS Q 15001は、個人情報保護マネジメントシステムの継続的な維持により、個人情報保護の要求事項を満たす能力があるかを評価することを目的とした認証規格である^[4]。第三者認証制度のプライバシーマークでは、JIS Q 15001の要求事項を満たすことが取得条件となっている^[5]。

JIS Q 15001:2017は、マネジメントシステム本文、要求事項とその管理策について示した附属書A、管理策に対する補足を記した附属書B、安全管理措置に対する管理策を記した附属書C、2006年版との新旧対照表である附属書Dの5部構成になっている^[6]。本節では附属書Aで求められる要求事項について解説する。

JIS Q 15001:2017では、2015年（平成27年）の個人情報保護法改正により追加された「要配慮個人情報」等の新たな用語や、追加の条文に対応するため^[7]、2006年版では、その当時の個人情報保護法よりも広範囲を含めて独自に定義していた「個人情報」などの用語を^[8]、個人情報保護法と同一とすることにした^[9]。 これによりJIS Q 15001:2006の特徴でもあった、個人情報には生死の区別がなく、死者の情報も含まれるという解釈はなくなった^[10][9]。ただし、付属書Bによる補足では、死者の情報も「遺族の個人情報と解されること」などの理由により、同様の取扱いが必要と判断される場合は、区別せずに同一の管理措置での取扱いが望ましいとしている^[11]。

個人情報保護法との整合性が図られた規格となっており、個人情報保護法で定義される用語は、そのままJIS Q 15001でも同一の用語として使用されるが、その扱いが異なるものも存在する。たとえば「本人から直接書面によって取得する個人情報」については、個人情報保護法では「その利用目的を明示することだけ」を求めているのに対し^{[注釈 3]}、JIS Q 15001では、「利用目的を明示し、同意を得ることまで」を求めており、さらに高い水準での保護施策が必要とされる^[13]。また、ここでの書面とは、一般的には紙面上の媒体であると思われがちであるが、紙を使わずにやりとりされる電子メールはもちろんのこと、ウェブサイト上に表示されるデータも含めて書面である^[14]。つまり、個人情報をWeb上の入力フォームより取得する場合、個人情報保護法では、認知しやすいように利用目的を明示するだけで要件を満たせるが、JIS Q 15001では、明示したうえで「同意して送信」ボタンを押させるなどの対応が必要となる^[15]。

一般の企業が関与し利用する個人情報は、顧客（消費者）の情報が多くを占める場合も見られるが、顧客ばかりでなく従業員の個人情報も JIS Q 15001 での保護の対象とする個人情報に含まれる^[16][17]。

一般的な企業が取り扱う個人情報の例としては以下のようなものがあげられる。

• 一般個人顧客（消費者）の個人情報
  • 商品の販売、問合せ、懸賞プレゼントなどで入手する情報
• 企業自身が雇用する従業員の個人情報（インハウス個人情報などと通称される）
• 求人に応募した人（学生など）の情報（採用されると従業員情報の一部となる）
• 取引先・協業先企業や団体から、連絡などのために提示を受ける個人情報、業務の担当者などの情報（名刺がその典型例）
• 取扱いを受託した個人情報（情報処理、ASPなど）
• 株主の個人情報（株主名簿）

JIS Q 15001は、組織が個人情報の取得や利用を適切に行っていること、個人情報を安全に管理していることなど、個人情報保護に関する取組みについて文書化し、内外に示すべきであると要求している^[18][19]。この指針を「個人情報保護方針」と呼んでおり、一般の人が知りえるように求めていることから、Web上で公開するケースが多い^{[20][注釈 4]}。個人情報保護方針を策定するのは組織の代表者（トップマネジメント）であるとしており、規格では方針を文書化したものに、トップマネジメントの氏名の記載を必要としている^[21]。

また、JIS Q 15001:2017より個人情報保護方針に「内部向け」と「外部向け」の概念が追加されたが、外部向けの方針が内部向けとしても矛盾しない場合は、改めて策定する必要はないとされる^[22]。

組織は、まず自らが事業の用に供しているあらゆる個人情報を特定し^[23]、これを台帳管理することになる^[24]。台帳は、定期的または随時に更新することになる。ただし、すべての個人情報を台帳に記載する必要はない。リスクに応じて、台帳記載を省くことは許容される^[11]。

次に、特定した個人情報に対してリスク分析（個人情報リスクアセスメント）を行う^[25]。リスク分析については、個人情報の取扱いの局面ごと（取得、利用、保管、移送、委託、提供、廃棄のそれぞれの局面ごと）に個人情報保護リスクを認識する。そして、リスクへの対応を立案する^[26]。リスク対策は、当然ながら当該組織としてルール化（安全管理措置）をすることになる^[27]。これらのリスクを分析、対策を講じることとした記録、実際にそれを運用した記録を作成し、保存することも必要となる^[24]。

また、リスクに対応し分析した結果でも、残存リスクが残る。これも記録管理が必要である^[25]。

組織は、個人情報保護マネジメントシステムを具体的にどのように運用するかを定めた規程をもち、それを文書化しなければならない^[28]。規程では、個人情報保護管理者を指名し、組織全体の個人情報保護マネジメントシステムの責任および権限を与えることが明記される^[29]。

個人情報の取得や利用、提供、委託を適切に行うこと^[30][31]、本人から個人情報を開示または訂正・削除の要求があった場合に対応する手段をもつこと^[32]、個人情報保護に関する教育を実施すること^[33]、運用の確認や内部監査を行うこと^[34]、規程に対する違反があった場合には罰則が適用されることなどを規程に明記しなくてはならない^[28]。

個人情報を取得するに際しては、利用目的を明確にすること、適法で公正な方法で取得を行うことを定め、利用目的について、本人へ通知または公表することを求めている^{[30][注釈 5]}。さらに直接書面で取得する際には、同意を得る必要があり、本人に対し、組織における個人情報保護管理者、個人情報の利用目的、個人情報の提供が任意であることや、提供しなかった場合に不利益が生じる場合はその旨を記載しなければならない^[30][36]。

取得した個人情報を利用する際、本人から同意を得た利用目的を超えてはならない。もし当初本人に告知した内容とは別の利用目的が生じた場合には、改めて本人の同意を得なくてはならない^[37]。この範囲を超えた場合は目的外利用と呼ばれる。ただし、人の生命・財産に関わる緊急事態や法令に定める事務の場合などは目的外利用とはならない^{[注釈 6]}。

個人情報を保有する組織は、これを安全に管理し、紛失・破壊・改竄・漏洩など個人情報を損ない、本人に不利益を与えることのないよう処置を講じなくてはならない^[39]。

組織は関与している個人情報の取扱いを、業務上、外部に委託する場合がありうる。その際にも個人情報を受け取る委託先が同様の管理を行えるか選定し、監督しなくてはならない^[31]。

JIS Q 15001は、前述を含む内容を従業員に教育し、周知させることを求めている^[40]。

また、組織内より個人情報保護監査責任者を指名し^[29]、定期的または必要に応じ、個人情報保護マネジメントシステムの運営体制がJIS Q 15001に適合しているかどうかについて内部監査すべきであると定めている^[34]。監査だけでなく、運用の確認（パフォーマンス評価）^{[注釈 7]}などによって改善すべき点が発見されれば、トップマネジメントによって個人情報保護マネジメントシステムの見直しを行い、必要ならば改訂すること（マネジメントレビュー）を要求している^[41]。

JIS Q 15001の要求事項を満たし、個人情報保護に関して適切な処置を行っていると判断される組織には、一般財団法人日本情報経済社会推進協会(JIPDEC)によりプライバシーマークの使用が認可される。プライバシーマークはアルファベットのPをかたどったロゴであり、認可を受けた組織は自社のウェブサイトや出版物などに利用して個人情報保護の安全な運用を対外的にアピールできる^[42]。

JIS Q 15001の要求事項それ自体は簡潔にまとめられているが、組織において要求事項の各項目を実践するには、自社の事業や組織体制を考慮した個人情報保護マネジメントシステムを構築し、それを実践（実施運用）するための規程類（手順や帳票様式をも含む）を設け、体制を整備し、それぞれの場面において、文書や記録を残すなど、個人情報が関係するあらゆる業務場面で規格の要求する事項に対応した運用の実施が求められる^[43]。かつ、この活動がPDCAサイクルに沿って継続的に改善し続けるしくみとして確立していなければならない^[44]。

JIPDEC及びJIPDECによって指定された民間組織団体（指定機関という）による審査で^[45]、 JIS Q 15001 およびJIPDECの定めたガイドライン等への対応が適切に実施されていると認定されると、所定の手続きを経てプライバシーマークの使用が可能になる。つまり、プライバシーマーク認証（すなわちPマークの使用）のためには、JIS Q 15001の要求事項に対応するだけでは不足であり、JIPDEC等の審査基準を基にした、担当の審査員による審査に合格することが必要である^[43]。

1970年代から1980年代にかけ、コンピュータの技術向上により一般企業でも業務で大量の情報処理を行うことが可能になった。扱われる情報には当然個人情報も含まれ、個人情報が紛失・盗難・漏洩・改竄に遭う可能性も高くなった。1990年代にはインターネットの普及により、このような危険は一層高まり、個人情報が関係する事故も報じられるようになった。個人情報に関わる事故が発生した場合、個人情報の指し示す本人が多大な不利益を被るばかりか、事故を起こした組織も訴訟や信頼の失墜などによって大きな損害を受ける事態となりうる^[46][47]。

情報処理技術と個人情報を取り巻く環境の変化を受け、OECDは1980年に「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」を策定した。この勧告では、大きく8項目に分けて個人情報の保護に関する原則を謳っており、しばしばOECD 8原則と呼ばれている。OECD 8原則では、個人データを適法かつ公正に収集（取得）すること、取得に際しては必ず収集元である個人から同意を得ること、取得の目的を明確に告げること、取得元である個人が自らの情報を提供したのちもその情報にアクセスする権利をもつこと、取得した個人データを安全かつ適切に管理すること、個人データの管理責任者を明確にすることなどが掲げられている^[48]。

この原則が示す理念は、OECD加盟の欧米各国などで個人情報保護に関する管理システム策定に受け継がれた。日本でも、1984年に制定された電気通信事業法、1988年の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」などに反映されたほか、1995年には、欧州連合にて個人データ保護指令が採択されたことにより、1997年に「民間部門における電子計算機処理に係る個人情報保護ガイドライン」が策定、これを基に1999年の JIS Q 15001 の策定^[49]、2003年の個人情報保護法制定へとつながった^[47][50]。

その後、個人情報保護法の全面施行から1年余りを経た2006年5月20日に、当時の実態を踏まえて、同法で導入された概念・用語を盛り込んだ改定が行われた^[51]。

大きな変更点としては、JIS Q 15001:1999では、コンプライアンス・プログラムと呼んでいたものを、2006年改正では、マネジメントシステムへ変更したことである。ISOで用いられていたマネジメントシステムとの整合を図り、認証規格としての明確化を行った^[52]。また、JIS Q 15001:1999は、個人情報保護法の制定前に策定されたこともあり、使用される用語に違いがあったものを個人情報保護法に合わせた。ただ完全に合わせたわけではなく、前述の個人情報節で述べたとおり、同じ用語でも別の定義づけをするなどの違いや、また、個人情報保護法では「個人情報取扱事業者」を使用しているものを、規格では「事業者」を使用するなどの用語自体の違いも存在する^{[53][注釈 8]}。

2009年には「個人情報の保護に関する基本方針」や「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」などへの対応が必要となってきたほか、2015年に改正された個人情報保護法が全面施行されたことに伴い、見直しが行われ、2017年に改正された^[55]。

ここでは、文書構造が大きく変更された。これはISOがマネジメントシステム規格に対し、推し進めてきた指針である、「ISO/IEC専門業務用指針 第1部 統合版ISO補足指針の附属書SL」へ適合をしたことによる^[6]。他のマネジメントシステム規格を運用する事業者にとっては、この変更は、近接性が保たれることによるメリットとなった^[56]。また、規格本文で、用語および定義を個人情報保護法と同一とすることで、新たに追加された「個人識別符号」「要配慮個人情報」「匿名加工情報」などの概念に対応し^[57]、法令等が改正され、規格の改正が必要となった際の影響が小さくなった^[6]。文書構造や使用される用語など、変更点が多く大幅改正となった^[58]。

2023年、6年ぶりに改正が行われた。2022年4月の個人情報保護法改正で新たに設けられた「個人関連情報」「仮名加工情報」関連の規程の追加などが行われているほか、附属書の構成も一部見直された。

この節の加筆が望まれています。

• 一般財団法人日本情報経済社会推進協会（JIPDEC)『JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項』一般財団法人日本規格協会（JSA）、2017年。 
• 一般財団法人日本情報経済社会推進協会（JIPDEC) (2006年5月22日). “JIS Q 15001:2006 個人情報保護マネジメントシステム―要求事項” (PDF). 経済産業省. 2020年12月22日閲覧。
• 一般財団法人日本情報経済社会推進協会（JIPDEC); 個人情報保護法制化専門委員会 (1999年4月2日). “JIS Q 15001:1999 日本工業規格個人情報保護に関するコンプライアンス・プログラムの要求事項”. 首相官邸. 2020年12月22日閲覧。

• 一般財団法人日本情報経済社会推進協会（JIPDEC) (2016年). “JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン -第2版-” (PDF). 2016年2月7日時点のオリジナルよりアーカイブ。2020年12月20日閲覧。
• 一般財団法人日本情報経済社会推進協会（JIPDEC) (2017年3月31日). “平成２８年度我が国におけるデータ駆動型社会に係る基盤整備（ＪＩＳ改訂等調査研究）調査研究報告書” (PDF). 経済産業省. 2020年12月22日閲覧。

• 個人情報保護法
• プライバシーマーク

• 日本工業標準調査会 - JIS Q 15001 の閲覧が可能（要利用者登録、PDF文書内でJavaScriptを実行する必要がある）