sg sg-security-law privacy_law sg-security-management isms
まず結論
- 個人情報保護法は、個人情報の取扱いについて守るべきルールを定めた法律です。
- JIS Q 15001は、個人情報保護マネジメントシステムを作り、実施し、維持し、改善するための要求事項を定めたJIS規格です。
SG試験では、法律なのか、組織の管理の仕組みを定めた規格なのかを切り分けることが重要です。
ざっくり言うと、個人情報保護法は「守るべきルール」、JIS Q 15001は「そのルールを組織として守り続けるための管理の仕組み」と考えると整理しやすいです。
直感的な説明
個人情報保護法とJIS Q 15001の違いは、交通ルールにたとえると分かりやすいです。
- 個人情報保護法:道路交通法のような守るべきルール
- JIS Q 15001:会社の中で安全運転を徹底するための教育、点検、管理体制
個人情報保護法は、個人情報を扱う事業者が守るべき基本的なルールを定めています。
たとえば、利用目的をできるだけ特定する、目的外利用をしない、本人からの請求に対応する、安全管理措置を講じる、といった考え方です。
一方、JIS Q 15001は、それらを組織の中で継続的に実行するために、体制、手順、教育、点検、改善の仕組みを整えるための規格です。
つまり、JIS Q 15001は法律そのものではありません。
法律を踏まえたうえで、個人情報をきちんと扱うためのマネジメントシステムの要求事項を示すものです。
定義・仕組み
個人情報保護法は、個人情報の適正な取扱いを確保し、個人の権利利益を保護するための法律です。個人情報保護委員会の公式サイトでは、個人情報保護法や関連ガイドラインが整理されています。詳しくは 個人情報保護委員会:個人情報保護法等 を確認できます。
JIS Q 15001は、正式には「個人情報保護マネジメントシステム-要求事項」に関する日本産業規格です。日本規格協会の説明では、組織が事業で扱う個人情報について、個人情報保護マネジメントシステムを確立し、実施し、維持し、改善するための要求事項を規定したものとされています。現行規格は JIS Q 15001:2023 個人情報保護マネジメントシステム で確認できます。
違いを表で整理すると、次のようになります。
| 観点 | 個人情報保護法 | JIS Q 15001 |
|---|---|---|
| 種類 | 法律 | JIS規格 |
| 主な目的 | 個人情報の適正な取扱いと個人の権利利益の保護 | PMSを確立・実施・維持・改善するための要求事項を示す |
| 対象 | 個人情報を取り扱う事業者など | 個人情報を事業で扱う組織のPMS |
| 覚え方 | 守るべき法的ルール | 組織で守り続けるための管理の仕組み |
| SG試験での見方 | 法令・義務の文脈 | 管理体制・継続的改善の文脈 |
ここで大事なのは、JIS Q 15001が「個人情報保護法の代わり」ではないことです。
JIS Q 15001は、法令などを踏まえ、組織として個人情報を管理するための仕組みを整える規格です。
どんな場面で使う?
個人情報保護法は、個人情報を取得、利用、保管、提供、削除、開示請求対応などを行う場面で意識します。
たとえば、次のような場面です。
- 顧客情報を取得する
- 利用目的を本人に通知または公表する
- 個人データを安全に管理する
- 第三者提供を行う
- 本人から開示、訂正、利用停止などの請求を受ける
- 漏えい等が発生したときに対応する
一方、JIS Q 15001は、個人情報保護のための組織的な仕組みを整える場面で使います。
たとえば、次のような場面です。
- 個人情報保護方針を定める
- 個人情報管理の責任者や役割を決める
- 個人情報の取扱い手順を文書化する
- 従業者教育を行う
- 委託先管理のルールを整える
- 内部監査や見直しを行う
- 不備を改善する
SG試験では、問題文が「法令上の義務」について聞いているのか、「組織としての管理体制」について聞いているのかを見ます。
選択肢では、次のように切り分けます。
- 法律上の義務、本人の権利、安全管理措置が中心なら、個人情報保護法
- PMS、体制、手順、教育、監査、継続的改善が中心なら、JIS Q 15001
よくある誤解・混同
誤解1:JIS Q 15001は個人情報保護法そのものである
これは誤りです。
個人情報保護法は法律です。
JIS Q 15001は、個人情報保護マネジメントシステムの要求事項を定めた規格です。
SG試験では、「JIS Q 15001は個人情報保護法である」といった説明があれば、切ってよい選択肢です。
誤解2:個人情報保護法を守れば、PMSは不要である
これも注意が必要です。
法律を守ることは当然必要です。
ただし、組織として継続的に守るには、ルール、責任者、教育、点検、改善の仕組みが必要になります。
JIS Q 15001は、そのようなPMSを整えるための規格です。
誤解3:JIS Q 15001は暗号化や認証方式を定めた技術規格である
これも誤りです。
JIS Q 15001は、暗号方式や認証方式そのものを定める規格ではありません。
個人情報を扱う組織が、管理体制を整え、継続的に改善するための規格です。
技術的対策はPMSの中で使われることがありますが、JIS Q 15001そのものは技術単体の規格ではありません。
誤解4:プライバシーマークとJIS Q 15001は同じである
プライバシーマークは、個人情報を適切に扱う体制を評価し、基準に適合した事業者にマークの使用を認める制度です。
JIS Q 15001は、PMSの要求事項を定めた規格です。
- JIS Q 15001:要求事項を定めた規格
- プライバシーマーク:基準に適合した事業者に使用を認める制度・マーク
SG試験では、規格と制度を入れ替えた選択肢に注意します。
SG試験でのひっかけポイント
SG試験では、次のような選択肢に注意します。
- 「JIS Q 15001は個人情報保護法そのもの」と説明している
- 「個人情報保護法はPMSの要求事項を定めた規格」と説明している
- 「JIS Q 15001は暗号化方式を定める規格」と説明している
- 「プライバシーマークとJIS Q 15001を同じもの」として説明している
- 「JIS Q 15001に適合すれば、法律上の責任がなくなる」と説明している
判断基準は、個人情報保護法=法律、JIS Q 15001=PMSの要求事項を定めた規格です。
まとめ(試験直前用)
- 個人情報保護法は、個人情報の取扱いについて守るべき法律です。
- JIS Q 15001は、PMSを確立・実施・維持・改善するためのJIS規格です。
- 法令上の義務や本人の権利が中心なら、個人情報保護法を考えます。
- 体制、手順、教育、監査、継続的改善が中心なら、JIS Q 15001を考えます。
- 選択肢では、法律と規格、制度とマーク、技術単体を混同していないか確認します。
確認問題
個人情報保護法とJIS Q 15001の違いとして、最も適切なものはどれか。
ア. 個人情報保護法はPMSの要求事項を定めたJIS規格であり、JIS Q 15001は罰則を定めた法律である
イ. 個人情報保護法は個人情報の取扱いに関する法律であり、JIS Q 15001はPMSを確立・実施・維持・改善するための要求事項を定めた規格である
ウ. 個人情報保護法もJIS Q 15001も、どちらも個人情報を暗号化するための技術規格である
エ. JIS Q 15001に適合すれば、個人情報保護法上の義務や責任はなくなる
回答と解説
正解は **イ** です。 個人情報保護法は法律、JIS Q 15001は個人情報保護マネジメントシステムの要求事項を定めた規格です。 アは法律と規格の関係が逆です。 ウはどちらも暗号化技術の規格ではありません。 エは誤りで、JIS Q 15001に適合しても、個人情報保護法上の義務や責任がなくなるわけではありません。🔗 関連記事
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- SG試験 ケース問題の解き方テンプレ【SG試験】