インターネットの普及やIT技術の進歩に伴い、個人情報が一瞬にして世間に広まり、国境を越える時代となりました。個人情報を取り扱えるデバイスや各種サービスが増え、個人情報の管理は複雑化・高度化し、外部への個人情報漏洩事件は後を絶ちません。個人情報を保護するための法整備は勿論のこと、個人・組織においても利用者ごとに情報セキュリティ対策(情報の取り扱い含む)の必要性を適切に理解し、正しく活用することがとても重要です。

目次

OECDプライバシーガイドライン(8原則)について

OECD(*1)では、このような情報化時代の到来に向けて、プライバシーの尊重と情報化社会における個人情報保護への取り組みとして、「プライバシー保護と個人データの国際流通に関するガイドライン」(プライバシーに関するガイドライン-OECD8原則)が1980 年 9 月 23 日に発効され、その後「OECDプライバシーガイドライン」は見直され、2013年に改正されています。

*1 OECD
Organisation for Economic Co-operation and Developmentの略称で、経済協力開発機構と呼ばれ、欧州・北米を中心とする原加盟国と日本や豪・ニュージーランド・オーストラリアなど現在34カ国が加盟する世界最大のシンクタンク。国際経済全般について協議することを目的とした国際機関。
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

日本の個人情報保護への取り組み

世界の個人情報保護の基本ガイドラインであるOECD 8原則が制定され、日本でも、OECD 8原則をベースに個人情報保護法やプライバシーマーク制度が制定されました。また、個人情報保護法やプライバシーマークの認証 規格 として1999年に初版「JIS Q 15001」(個人情報保護に関するコンプライアンス・プログラムの要求事項 )が制定され、2017年に改正されて最新版は「JIS Q15001:2017」となっています。

個人情報保護に関する歴史的経緯

  • 1980年 OECD8原則の制定(1989年 通産省ガイドラインの策定)
  • 1995年 EU個人情報保護法指令(1997年 通産省ガイドラインの改定)
  • 1998年 プライバシーマーク制度の創設
  • 1999年JIS Q15001:1999の制定
  • 2003年に個人情報保護法の制定/完全施行2005年4月1日
  • 2006年にJIS Q15001:1999、「JIS Q15001:2006」に改正
  • 2013年 OECDプライバシーガイドラインの改正/2013年9月9日公布
  • 2017年にJIS Q15001:2006、「JIS Q15001:2017」に改正

個人情報保護の基本ガイドライン「OECD8原則」とは

「プライバシー保護と個人データの国際流通についての勧告」で定められた8原則とは、どのような内容なのか、以下に示します。

【OECD8原則】

① 収集制限の原則[Collection Limitation Principle]

個人データの収集には制限をかけ、如何なる個人情報も適法かつ公正な手段によって、本人(*2)への通知又は本人の同意を得て情報を収集すること。

  • *2 個人情報により識別または識別可能な個人は情報主体となる。本人とは情報主体を示し、本稿では以降「本人」と記載する
② データ内容の原則[Data Quality Principle]

個人データは利用目的の必要範囲内で正確且つ完全であり、最新の状態を保つこと。

③ 目的明確化の原則[Purpose Specification Principle]

個人データの収集目的を明確にすること。また、利用目的が変更になった場合もその都度利用目的を明確にし、制限されなければならない。

④ 利用制限の原則[Use Limitation Principle]

本人の同意や法律に認められる場合を除いて、利用目的以外の目的で利用してはらない。

⑤ 安全保護の原則[Security Safeguards Principle]

個人データ管理者は、個人データの紛失や不正アクセス、破壊、改ざんなど情報セキュリティリスクに対し、安全に管理し保護しなければならない。

⑥ 公開の原則[Openness Principle]

個人データ管理者は個人データを収集するにあたり、まず利用方針について公開し、データの所在や利用目的、管理者などについて明確にすること。

⑦ 個人参加の原則[Individual Participation Principle]

個人データ管理者は、本人に関する個人データはその本人が所在・内容について容易に確認できるようにしなければならない。また、個人データ管理者が本人のデータについて開示を拒否する場合には、その理由を提示し異議を申し立てができるようにすること。

⑧ 責任の原則[Accountability Principle]

個人データの管理者は、これら原則を遵守する責任を有する。

プライバシーマークとOECD8原則の相違点

プライバシーマーク認証規格である「JIS Q15001:2017」は、OECD8原則(個人情報保護法)を基に策定されているためOECD8原則と内容的に類似していますが、JIS Q15001は高いレベルで本人の権利を尊重するとともに、PDCAサイクルにより個人情報保護を効率的に実現するための要求内容となっています。

また、プライバシーマーク認証取得する際は、下記「留意事項」について必ず確認しましょう。

留意事項

  • 両者規定では、趣旨は同じでも異なる項目あり
  • 個人情報保護を満たすだけでは、JIS Q15001の要件満たさない項目もあり
  • 保護対象の範囲
  • 個人情報取得時に本人に通知しなければならない事項あり
  • 個人情報の第三者提供について
  • 本人から利用停止または第三者提供の停止請求された場合
  • JIS Q15001にのみ規定された要件あり

OECD8原則とPマーク適合基準の対応表

OECD8原則 Pマーク適合基準(JIS Q 15001:2017)
1.収集制限の原則 A.3.4.2.2 適正な取得
2.データ内容の原則 A.3.4.3.1 正確性の確保
3.目的明確化の原則 A.3.4.2.1 利用目的の特定
4.利用制限の原則 A.3.4.2 取得、利用及び提供に関する原則
A.3.4.2.3 要配慮個人情報
A.3.4.2.6 利用に関する措置
A.3.4.2.8 個人データの提供に関する措置
5.安全保護の原則 A.3.4.3.2 安全管理措置
A.3.4.3.3 従業者の監督
A.3.4.3.4 委託先の監督
6.公開の原則 A.3.4.2.1 利用目的の特定
A.3.4.4.1 個人情報に関する権利
A.3.4.4.2 開示等の請求等に応じる手続
A.3.4.4.3 保有個人データに関する事項の周知
A.3.4.4.4 保有個人データの利用目的の通知
A.3.4.4.5 保有個人データの開示
7.個人参加の原則 A.3.4.4.6 保有個人データの訂正、追加又は削除
8.責任の原則 A.3.3.4 資源、役割、責任及び権限
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

Pマーク、50,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ