sg sg-security-law privacy_law sg-security-management isms
まず結論
- JIS Q 15001とは、組織が個人情報保護マネジメントシステムを作り、実施し、維持し、改善するための要求事項を定めたJIS規格です。
- SG試験では、細かい条文暗記よりも、個人情報を組織として継続的に管理するための規格だと判断できるかが重要です。
JIS Q 15001は、個人情報を「担当者の注意」だけで守るのではなく、組織としてルール化し、運用し、見直していくための規格です。
選択肢では、個人情報保護法そのもの、プライバシーマークそのもの、暗号化などの技術対策そのものと混同させてくることがあります。
直感的な説明
JIS Q 15001は、会社の中に作る個人情報を守るための運用ルールの設計図と考えると分かりやすいです。
たとえば、会社が顧客情報や従業員情報を扱う場合、次のようなことを決めておく必要があります。
- どの個人情報を持っているか
- 何の目的で利用するか
- 誰が管理責任を持つか
- 本人への説明や同意をどう行うか
- 社員教育をどう行うか
- 委託先に渡すとき、何を確認するか
- 漏えいなどが起きたとき、どう対応するか
- 定期的に見直し、改善するか
JIS Q 15001は、これらを場当たり的に行うのではなく、組織の仕組みとして整えるための基準です。
SG試験では、「個人情報を守る」と聞くと、暗号化やアクセス制御だけを思い浮かべやすいですが、JIS Q 15001の中心は管理の仕組みです。
定義・仕組み
JIS Q 15001は、正式には「個人情報保護マネジメントシステム-要求事項」に関する日本産業規格です。
日本規格協会の説明では、組織が事業で扱う個人情報について、個人情報保護マネジメントシステムを確立し、実施し、維持し、改善するための要求事項を規定したものとされています。現行規格は JIS Q 15001:2023 個人情報保護マネジメントシステム で確認できます。
ここでいう「要求事項」とは、組織が個人情報を適切に扱うために満たすべき事項のことです。
主な考え方は、次のように整理できます。
| 観点 | 内容 |
|---|---|
| 体制 | 個人情報保護の責任者、役割、権限を決める |
| 個人情報の把握 | どの個人情報を、何のために扱うかを整理する |
| ルール | 取得、利用、提供、保管、廃棄などの手順を定める |
| 教育 | 従業者に個人情報保護のルールを理解させる |
| 委託先管理 | 個人情報を委託先に渡す場合の管理を行う |
| 点検・改善 | 内部監査や見直しで、運用を継続的に改善する |
JIS Q 15001は、マネジメントシステムの規格なので、一度作って終わりではありません。
運用しながら、問題点を見つけ、改善していくことが前提です。
また、プライバシーマーク制度では、JIS Q 15001に準拠した個人情報保護マネジメントシステムの構築・運用が重要になります。プライバシーマーク制度における構築・運用指針については、プライバシーマーク制度の公式情報 が参考になります。
どんな場面で使う?
JIS Q 15001は、個人情報を扱う組織が、個人情報保護の仕組みを整える場面で使われます。
たとえば、次のような場面です。
- 顧客情報や会員情報を扱う
- 従業員情報や応募者情報を扱う
- 個人情報の利用目的を整理する
- 個人情報を外部委託先に渡す
- 個人情報の保管・廃棄ルールを整える
- 漏えい事故に備えた対応手順を作る
- プライバシーマーク取得・更新に向けて体制を整える
SG試験では、個人情報の取扱いを組織的に管理する文脈で出てきたら、JIS Q 15001を候補にします。
一方で、次のような説明は注意です。
- 「個人情報を暗号化する方式」だけを説明している
- 「本人認証の仕組み」だけを説明している
- 「個人情報保護法の罰則」だけを説明している
- 「情報資産全体を対象にしたISMS」として説明している
これらは関連はありますが、JIS Q 15001そのものの説明としてはズレています。
よくある誤解・混同
個人情報保護法との混同
個人情報保護法は、個人情報の取扱いに関する法律です。
JIS Q 15001は、その法律などを踏まえて、組織内で個人情報を継続的に管理するための規格です。
- 個人情報保護法:法律
- JIS Q 15001:個人情報保護マネジメントシステムの要求事項を定めた規格
選択肢で「JIS Q 15001は個人情報保護法そのものである」といった説明があれば誤りです。
ISMSとの混同
ISMSは、情報資産全体を対象にした情報セキュリティマネジメントシステムです。
JIS Q 15001は、個人情報保護マネジメントシステムの要求事項を定めた規格です。
- ISMS:情報資産全体を守る仕組み
- JIS Q 15001:個人情報の取扱いを中心にしたPMSの要求事項
どちらもマネジメントシステムなので、体制を作り、運用し、改善する点は似ています。
ただし、対象が違うと押さえます。
プライバシーマークとの混同
プライバシーマークは、個人情報を適切に取り扱う体制を整えている事業者に付与される制度・マークです。
JIS Q 15001は、その前提となる個人情報保護マネジメントシステムの要求事項を定めた規格です。
- JIS Q 15001:要求事項を定めた規格
- プライバシーマーク:一定の基準を満たした事業者に付与される制度・マーク
選択肢では、「JIS Q 15001=マークそのもの」としていないかを確認します。
SG試験でのひっかけポイント
SG試験では、次のような選択肢に注意します。
- 「個人情報を暗号化する技術」とだけ説明している
- 「個人情報保護法の罰則」とだけ説明している
- 「情報資産全体を管理するISMS」と混同している
- 「プライバシーマークそのもの」と説明している
- 「取得時の同意手続だけ」に限定している
判断基準は、個人情報保護マネジメントシステムを組織として確立・実施・維持・改善するための要求事項かどうかです。
まとめ(試験直前用)
- JIS Q 15001は、個人情報保護マネジメントシステムの要求事項を定めたJIS規格です。
- 個人情報を、組織として継続的に管理・改善するための基準です。
- 個人情報保護法は「法律」、JIS Q 15001は「PMSの要求事項を定めた規格」と切り分けます。
- ISMSは情報資産全体、JIS Q 15001は個人情報の取扱いが中心です。
- 選択肢では、技術単体・法律そのもの・マークそのものとして説明されていたら注意します。
確認問題
JIS Q 15001の説明として、最も適切なものはどれか。
ア. 個人情報を暗号化するための暗号方式を定めた規格
イ. 個人情報保護マネジメントシステムを確立し、実施し、維持し、改善するための要求事項を定めた規格
ウ. 情報資産全体を対象に、機密性・完全性・可用性を管理するISMSの認証マーク
エ. 個人情報保護法に違反した場合の罰則だけを定めた法律
回答と解説
正解は **イ** です。 JIS Q 15001は、個人情報保護マネジメントシステムの要求事項を定めた規格です。 アは技術的対策に限定されており、JIS Q 15001の説明としては狭すぎます。 ウはISMSや認証マークの説明に寄っています。 エは個人情報保護法の説明に寄っており、JIS Q 15001そのものではありません。🔗 関連記事
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- SG試験 ケース問題の解き方テンプレ【SG試験】