fbpx

情報セキュリティにまつわる
お役立ち情報を発信

JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します

JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどのような関連があるのでしょうか?個人情報保護への関心が高まる現在、個人情報を正しく管理することが求められています。この記事を通して、JIS Q 15001やPマークについて理解を深めることができます。

JIS Q 15001について

JIS Q 15001とは、一般財団法人日本規格協会によって策定された日本産業規格の1つで、個人情報保護を目的とした、組織が個人情報を適切に管理するためのマネジメントシステムの要求事項を定めた規格です。
JIS Q 15001に基づいて社内体制を整備することで、効果的かつ効率的な個人情報管理を行うことができます。

JIS Q 15001の特徴としては、
①個人情報保護法など他のマネジメントシステム規格と構造の整合性に配慮していること
②個人情報保護法は法的に定められているが、JIS Q 15001によるPマークは取得義務がないため、この規格を活用することは、法律の要請を上回る高度な配慮を行っている会社にはPマーク付与という形で認証を与えること
を実践的な目的としていることが挙げられます。

JIS Q 15001について調べるとよく目にする単語として「Pマーク」があります。JIS Q 15001とPマークはどのような関係なのでしょうか。以下では2者の関係性について解説します。JIS Q 15001とPマークの関係とは、JIS Q 15001の要求要項を満たし、JIS Q 15001に基づく審査に合格することで、Pマークが付与されるようになっています。つまり、JIS Q 15001はPマークを取得するために抑えるべき内容がまとめられたものと言い換えることが出来るでしょう。

JIS Q 15001と個人情報保護法の違いについて

次に、Pマークと同様、JIS Q 15001と共によく使われる個人情報保護法とJIS Q 15001はどのような違いがあるのでしょうか。
個人情報保護法は全事業者が守るべきものとして法的に定められているのに対して、JIS Q 15001は、法的に義務付けられてはおらず、個人情報保護法をふまえて、より厳しい規格となっています。
個人情報保護法の内容をふまえて、規格を定めているため、個人情報保護法が改正されると、それに合わせる形でJIS Q 15001も変更されています。

JIS Q 15001制度の歴史について

以下では、JIS Q 15001が制定された背景や、3回にわたるJIS Q 15001の改正について見ていきます。
JIS Q 15001が制定された背景としては、1990年代になって、インターネットが普及し、個人情報を取り巻く環境の変化から、OECDは個人情報に関する8つの原則を定めました。
この世界の動きを受けて、日本でも対策が取られるようになり、その結果として1999年にJIS Q 15001(JIS Q 15001:1999)が制定されたのです。

2回目の改正は、2003年に個人情報保護法が制定されたことを受けて、JIS Q 15001もそれに合わせる形で改正が行われ、2006年にJIS Q 15001が新たに改定されました(JIS Q 15001:2006)。
3回目の改正は、2015年の個人情報保護法が改正されたことを受けて、JIS Q 15001:2015が制定されました。3回目の改正は文書の構造や使用される用語が大きく変更されたと言われています。

Pマークは何を表しているのか?

ここまでJIS Q 15001について特徴や歴史とともに見ていきました。
ここからは、JIS Q 15001とセットで用いられるPマークとはどのようなものなのか、Pマークについてメリットや取得までの流れ、事例を合わせて解説していきます。

まずPマークとは、上記でも述べた通り、JIS Q 15001に基づく審査に合格することで得ることができる個人情報保護体制に関する認証です。個人情報保護法より厳しい規格であるJIS Q 15001に基づき、社内の体制を整えるため、Pマークを取得することは個人情報への堅実な取り組みを行っていると社外にも示すことができます。

Pマークを取得する組織の対象について

Pマークを取得する組織の対象は、2名以上から構成される事業者と定められています。個人事業主は取得することができませんが、個人情報を取り扱うあらゆる種類・規模の組織がJIS Q 15001を利用し、Pマークを取得することができるようになっています。

PマークとISMSの違い

Pマークとともに、よく耳にする単語としてISMSが挙げられます。
前提として、ISMSは、ISO/IEC 27001の規格に基づいた情報セキュリティマネジメントシステムのことを指しています。

PマークとISMSには、どのような違いがあるのでしょうか。
PマークとISMSは様々な項目で異なるとされています。
まず、それぞれの規格の対象として、Pマークが個人情報に特化しているのに対して、ISMSは、組織が持つ情報全般が対象となっています。
また、認証が適用できる地域として、Pマークは国内限定であるのに対して、ISMSは世界でも適用することができます。
さらに、認証の範囲として、Pマークは企業ごとに取得するため、会社全体が範囲となるのに対して、ISMSは社内の一部の部署だけでも取得できるため、ISMSは認証範囲を設定できるとされています。
この他にも、PマークとISMSでは項目ごとに様々な違いがあるため、自社はどちらを活用すべきなのか、よく吟味する必要があります。

Pマークを取得するメリット

これまで、PマークについてISMSとの違いや取得する対象について見てきました。以下では、Pマークを取得するメリットについて述べていきます。

① 個人情報を適切に管理するよう組織の体制を整えることができる

JIS Q 15001という規定に基づいて、社内のルールや基準が明文化されることで、個人情報を適切に管理するよう組織の体制を確立できるようになります。

② 個人情報に関するリスクを減らすことができる

上記のメリットにもある通り、Pマークの取得に伴い社内の体制を整えるため、Pマークの取得は個人情報漏洩など個人情報に関する問題を起こすリスクを減らすことに繋がります。

③ Pマークを取得することで、個人情報の取り扱いに関する信頼を高めることができる

Pマークについての説明でもふれましたが、個人情報法より厳しいJIS Q 15001に基づくPマークを取得することで、個人情報の保護に関して高いレベルを保持していると社外に示すことができます。
また、個人情報の取り扱いについて高いレベルをもつことは、取引先や顧客に対して信用を高めることにも繋がると言えるでしょう。

Pマーク取得までの一連の流れについて

Pマーク取得に向けた工程は大きく分けて、5つに分けられます。

①取得に向けて方針の決定

なぜ自社ではPマークを取得するのか、取得する目的を定め、社内で共有することは重要であり、目的を共有することで社内としての方針を決定することができます。また、その際には、誰が中心となって進めるのか、取得に向けた社内の体制や、いつ・どの審査を受けるのか、審査に向けたスケジュールを立てましょう。全体を把握することで、取得に向けた具体的な行動が見えてきます。

②PMSの策定

JIS Q 15001とは個人情報保護マネジメントシステムを定めた規格と説明しましたが、個人情報保護マネジメントシステムとは通称PMSと呼ばれ、個人情報保護の体制を整え、計画から実行、監査、改善のPDCAサイクルを繰り返し、継続的な改善を促す仕組みを指しています。方針の決定後は、実際どのように進めていくのかPMSの内容を決めていきます。具体的には、個人情報の取り扱い方法や、入退室管理やウィルス対策などセキュリティの確保、監査や教育などマネジメントシステム運用のための計画などの策定を行います。

③運用

②で策定したPMSに基づいて社員教育や個人情報保護、内部監査の実施を行います。また、PMSはPDCAサイクルを回すことが重要であるため、内部監査の結果を受けてPMSや運用を見直す必要があると言われています。

④申請と審査

申請には、指定された書類を予め提出する必要があります。書類の提出をもって、申請したと見なされるため、入念に準備を行いましょう。
申請後には、審査員が企業を訪れる現地審査が行われます。審査で確認されるポイントに向けて、こちらも十分な対策を取るようにしましょう。

⑤付与認定

全ての審査に合格すると、Pマークが付与されるようになり、Pマークを使用できるようになります。Pマーク取得後も、個人情報保護に対する高い安全性を維持できるように努めましょう。

Pマークを取得した企業の事例

Pマークを取得した企業にはどのような企業があるのでしょうか?
最後に、Pマークを取得した事例を確認していきます。Pマークを取得した企業は、2022年10月時点で約17,000社にも及びます。
取得している企業を見ると、サービス業、その中でも情報サービス・調査を行う企業での取得割合が高くなっています。
Pマークを取得した企業の事例としては、株式会社エイチ・アイ・エス、教育出版株式会社、大塚製薬株式会社などが挙げられ、様々な業界の企業が取得していると分かります。

まとめ

これまで、JIS Q 15001やPマークについて、歴史やメリット、取得に向けた流れと共に見てきました。
特に個人情報の安全性が問われるようになった現在、JIS Q 15001を用いてPマークを取得することは、個人情報保護の観点から重要であると言うことが出来るでしょう。

株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク(Pマーク)取得や、取得に必要な社員教育のノウハウがございます。
プライバシーマーク取得・教育実施でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る