JISQ15001:2017解説「個人データ」に対する管理策だけが示される場合について

2017年12月にJISQ15001が改訂され、JISQ15001:2017が公開された。

旧規格JISQ15001:2006と新規格JISQ15001:2017について、何が違うのかと早速確認されている方もいらっしゃると思う。

そこで本日以降、改訂された新規格JISQ15001:2017について、疑問に思いやすい点を解説していく。
今回は、「個人データ」対する管理策だけが示される場合について説明する。

旧規格JISQ15001:2006では、個人情報の表現について、「個人情報」と「開示対象個人情報」の2種類で表現され、新規格JISQ15001:2017では、「個人情報」「個人データ」「保有個人データ」の3種類で表現されている。

また、旧規格JISQ15001:2006では、管理対象については、すべて「個人情報」一本で記載されていたが、新規格JISQ15001:2017では「個人情報」と「個人データ」と区別して記載されている。
「個人情報」ではなく、「個人データ」とわざわざ表現しているため、言葉だけを取ると、「個人データ」のみを対象としており、「個人データではない個人情報」は対象外にしても良いような表現になっている。

この点は多くの方が疑問に思う点だろう。
そのため、今回は記事では新規格JISQ15001:2017における「個人データ」に対する管理策だけが示される場合についてどう対応すべきかを解説する。

尚、「個人情報」「個人データ」「保有個人データ」については、個人情報保護法の表現であるため、新しく出てきた表現ではないが、合わせて説明する。

今更と思われる方もいらっしゃると思うが、旧規格JISQ15001:2006では、使ってこなかった言葉であるため、プライバシーマーク担当者の中には、プライバシーマークのマニュアルしかほとんど見たことがなく、「個人情報」「個人データ」「保有個人データ」の違いついて理解されていない場合もあろう。

３つの違いを理解している人は、「4.新規格JISQ15001:2017における「個人データ」に対する管理策だけが示される場合について」から読んでもらいたい。

1.個人情報とは

「個人情報」とは、生きている個人に関する情報であって
①特定の個人であると分かるもの及び他の情報と紐づけることで容易に特定の個人であると分かるもの
②個人識別符号
が含まれるものを言う。

※日本に居住する外国人の情報も個人情報に含まれるが、法人の情報は個人情報に含まれない。
※ただし、法人の情報であっても、法人の役員等の氏名等の情報は個人情報に含まれる。
※個人識別符号とは、例えば、指紋をデータ化したものや運転免許証番号、パスポート番号、マイナンバー等であり、法律や政令、規則で定めるものをいう。

上記は、個人情報保護法における「個人情報」の定義である。
JISQ15001:2017では、生きている個人だけではなく、死者の情報も対象とすることが望ましいとされているので注意したい。

JISQ15001:2017 B.3.3.1 個人情報の特定より引用
この規格の趣旨を踏まえて死者の情報の適正な取扱いと管理が必要であると判断される場合は、死者の情報も対象とすることが望ましい。その理由は、故人の個人情報が遺族の個人情報として解されることがあり、また、その利用目的との関係において、生死の別を厳格に管理しない場合もあるからである。さらには、事業活動においては、契約によって取得している個人情報も多く、その一方当事者の死亡をもって、即時に個人情報保護マネジメントシステムの対象情報から除外するというものでもないからである。

2.個人データとは

「個人データ」とは、個人情報データベース等を構成する個人情報を言う。

個人情報データベース等とは、以下のようなものである

個人情報を含む情報の集合物であって、
①特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
②前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

個人情報データベース等に該当する事例
①電子メールソフトに保管されているメールアドレス帳（メールアドレスと氏名を組み合わせた情報を入力している場合）
②ユーザーＩＤとユーザーが利用した取引についてのログ情報が保管されている電子ファイル（ユーザーＩＤを個人情報と関連付けて管理している場合）
③従業員が、名刺の情報を業務用ＰＣ(所有者は問わない)の表計算ソフト等を用いて入力・整理し、他の従業員等によっても検索できる状態にしている場合
④人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合
⑤氏名、住所、企業別に分類整理されている市販の人名録

個人情報データベース等に該当しない事例
①社員が、自己の名刺入れについて他人が自由に検索できる状況に置いていても、他人には容易にわからない独自の分類方法により名刺を分類した状態である場合
②アンケートの戻りはがきで、氏名、住所等で分類整理されていない状態である場合

つまり、個人情報データベース等のポイントは、「その個人情報を容易に検索することができる状態にあるか」ということである。

データ化された個人情報が2つ以上あれば、原則、個人情報データベース等になる。（データ化しているのに検索が出来ない状態で保管することは通常あり得ない）
紙の個人情報については、例えば、山田さんという個人情報を容易に探し出せる状態（50音順にファイリングしたり、並べているなど）にあれば、個人情報データベース等になる。

「個人情報」の内、上記のような個人情報データベース等に含まれる個人情報を「個人データ」と言う。

3.保有個人データとは

「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものを言う。

つまり、「保有個人データ」とは、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データのこと。

例外として、
①その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの
②一年以内の政令で定める期間（法律施行令で6カ月）以内に消去することとなるもの
は、「保有個人データ」に該当しない。

開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するとは、

あなたの会社が持っている「個人データ」について、本人から開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を求められた場合、あなたの会社の中だけでその判断をすることが可能であれば、「権限有り」。社内だけでは判断できず、社外の取引先、委託元などに判断を仰ぐ必要がある場合は、「権限無し」となる。

具体的に言うと、受託により個人データを預かったケースや、受託により個人データを収集したケースは「権限無し」の場合が多い。例えば、受託により預かった個人データについて、直接本人から個人情報を削除してほしいと連絡がきた場合は、通常は勝手に削除はせず、削除して良いのか委託元に判断を仰ぐことになるだろう。受託により個人データを収集したケースも同様であろう。

このような場合は、社内のみで判断できないケースなので、「権限無し」となり、「保有個人データ」に該当しない。
逆に、社内のみで開示等を行うかどうかの判断ができる個人データは「保有個人データ」に該当する。

4.新規格JISQ15001:2017における「個人データ」に対する管理策だけが示される場合について

まずは、おさらいになるが、「個人情報」「個人データ」「保有個人データ」の違いは以下である。

旧規格では、管理対象はすべて「個人情報」であったが、新規格では、管理対象を「個人情報」「個人データ」に区別して記載している。
つまり、新規格では、「個人データ」のみを対象とした管理策が含まれている。

そのため、一見、「個人データ」のみを対象とした管理策では、「個人データではない個人情報」は管理対象外であるように見えるが、それは正解だろうか？

具体例を挙げると、個人から「申込書(紙)」を取得し、その「申込書(紙)」を元に、データベースへ「顧客リスト(データ)」を入力する。入力の終わった「申込書(紙)」は、定められた回収ボックスの中に入力が終わり次第入れていく。一定の期間後に回収ボックスを廃棄する流れとする。

ここでは、「申込書(紙)」は入力の終わった順に回収ボックスに入れられているだけなので、容易に検索することができない。そのため、「申込書(紙)」は、「個人データはない個人情報」になる。
「申込書(紙)」から入力する「顧客リスト(データ)」は、データベースであるため、容易に検索することができ、「個人データ」になる。

つまり、「個人データ」のみを対象とした管理策では、「申込書(紙)」は管理対象外にしてもいいか？ということだ。

5.特定した「個人情報」についてはすべて対応が必要

結論から言うと、新規格では管理対象をわざわざ「個人情報」「個人データ」に区別して記載しているが、その表現に関係なく、特定した「個人情報」についてすべて対応が必要になる。
先ほどの事例で言うと、「個人データ」のみを対象とした管理策であっても、「申込書(紙)」についても対応が必要になるということだ。

新規格JISQ15001:2017にも明確に記載されている。

①JISQ15001:2017 A.3.3.1 個人情報の特定
「組織は、特定した個人情報については、個人データと同様に取り扱わなければならない。」

②JISQ15001:2017 B.3.3.1 個人情報の特定
「“組織は、特定した個人情報については、個人データと同様に取り扱わなければならない。”とは、A.3.4.2、A.3.4.3において個人データに対する管理策だけが示される場合であっても、特定した個人情報については、A.3.3.3に基づき個人情報保護リスクに応じて、必要かつ適切な安全管理措置を講じることをいう。例えば、従業者に個人情報を取り扱わせる場合に、A.3.4.3.3と同等に従業者に対する監督を行うことがこれに該当する。また、委託先への個人情報の提供又は委託先との間での個人情報の授受に伴い、個人情報の受け渡しが発生する場合に、受け渡し時の手順を規定の上で実施することも、これに該当する。」

①の意味は、特定した「個人情報」は、「個人データ」と同様に取り扱いなさいということだ。
②の意味は、個人データに対する管理策だけが示される場合であっても、ただ単純に「個人データ」だから管理する、「個人データ」ではないので管理しないということが趣旨ではなく、特定した「個人情報」について、すべて分け隔てなく、リスクアセスメントを行い、そのリスクアセスメントの結果に応じて必要かつ適切な安全管理措置を行いなさないということだ。

6.なぜ「個人情報」「個人データ」に区別されているのか

なぜ「個人情報」「個人データ」に区別されているのか？
なぜ「個人データ」を対象とした管理策を作ったのか？
すべて「個人情報」の表現で統一しても良かったのではないか？

あなたが、上記のような疑問は持つことはおかしくはない。

なぜこのような取り扱いがされたかと言うと、JISQ15001:2017は、個人情報保護法の対象に合わせて作成されたからである。

以下の表を見てもらいたい。

個人情報保護法で「個人データ」を対象としている項目（安全管理措置以外）では、JISQ15001:2017でも「個人データ」と表現されていることがわかるだろう。

つまり、こういうことだ。

JISQ15001:2017では、個人情報保護法に合わせて「個人データ」という表現をしたが、規格の趣旨から言っても「個人データ」のみを対象とした規格にすることは考えられない。
そのため、JISQ15001:2017 A.3.3.1 個人情報の特定で、「組織は、特定した個人情報については、個人データと同様に取り扱わなければならない。」と追加し、整合性を図ったということだ。

正直なところ、「個人情報」の表現だけでよかったのではないか。

JIPDECが発表している審査基準（プライバシーマークの認定基準）でも、わざわざこのように記載されている。
「個人データに対する審査項目であっても、A.3.3.1において特定した個人情報については、個人データと同等に取り扱う。」

補足説明が必要な規格になってしまっている時点で、少し残念であると個人的には思う。

6.まとめ

新規格JISQ15001:2017における「個人データ」に対する管理策だけが示される場合についても、特定した「個人情報」すべてに対応が必要になる。

「個人データ」と表現されているのは、個人情報保護法で対象となっている表現に合わせているためであり、規格の趣旨としては、特定した「個人情報」をすべて対象としている。

そのため、「個人データ」を「個人情報」と読み換えても全く問題ない。

また、これから更新を向けるプライバシーマーク取得事業者の皆様が、個人情報保護マネジメントマニュアルを改訂する際も、JISQ15001:2017では個人データとなっているからと言って、個人情報をわざわざ個人データと変換する必要もないであろう。

もし、個人データと変換する場合や、これからマニュアル等を作成する場合は、A3.3.1には「特定した個人情報については、A.3.3.3に基づき個人情報保護リスクに応じて、必要かつ適切な安全管理措置を講じる」と一文加えておくと良い。