情報産業個人情報保護体制認定制度(以下「PP」(プライバシーポジション〕と称する)の認定基準は、「個人情報の保護に閲する法律(平成15年5月30日法律第57号)(以下「保護法」という)・同法施行令(平成15年12月10日政令507号)」に基づき「個人情報取扱事業者義務等」の法的要件を満たし、さらに「個人情報保護マネジメントシステム:JISQ15001:2006」(平成18年5月20日告示:日本工業規格)の要求事項(ただし点検・内部監査等:Check、見直し:Actは事業者の任意)に適合したシステムを全事業所に確立し、維持し、実施し、かつ改善されていること。
PP(プライバシーポジション)と保護法の比較
| 要求事項・法的要件 | PP(プライバシーポジション) | 保 護 法 |
|---|---|---|
| 適用範固 | 複写関連事業者 | 個人情報を取り扱う事業者 |
| 用語の定義 | 保護法に準拠(管理責任者等の追加) | 第2条 個人情報/個人情報取扱事業者/ 個人データ/保有個人データ/本人 |
| 要求事項 | 一般要求事項(点検監査・見直し任意規定) | 第15条~法第30条まで |
| 個人情報保護方針 | 個人情報保護方針の策定義務あり | 策定・公表義務なし |
| 個人情報の特定 | 個人情報管理台帳の作成義務あり | 定めていない |
| 法令・指針・その他の特定 | 手順の確立が要求事項としてあり | 定めていない |
| リスク認識・分析・対策 | 個人情報取撮いの各局面ごとに | 第16条 利用目的による制限 |
| 第20条 安全管理措置 | ||
| 第21条 従業者の監督 | ||
| 第22条 委話先の監督 | ||
| 役割・権限・責任など 組織体制確立 | 資源・役劃・責任・権限要求事項あり | 定めていない |
| 内部規定作成 | 作成の要求事項あり (点検監査・見直しについては任意規定) | 定めていない |
| 計画 | 教育・監査計画・見直しなど (監査・見直しは任意) | 定めていない |
| 緊急事態への準備 | 要求事項・緊急連絡体制など | |
| 実施及び運用(安全管理) | 運用手順 | |
| 利用目的特定 | 第15条 利用目的の特定 | |
| 適正管理 | 第16条 利用目的による制限 | |
| 適正取得 | 第17条 適正な取得 | |
| 書面取得、書面以外の取得 本人アクセス措置、利用に関する措置 | 第18条 取得に際しての利用目的の通知 | |
| 正確性の確保 | 第19条 データ内容のE確性の確保 | |
| 安全管理措置 | 第20条 安全管理措置 | |
| 提供 | 第23条 第三者提供の制限 | |
| 機微情報制限 | ||
| 従業者の監督 | 普約書・同意書 | 第21条 従業者の監督 |
| 委託先の監督 | 機密保持契約 | 第22条 委託先の監督 |
| 個人情報に関する本人の権利 | 本人から開示等求めがあった場合、 それに応じなければならない | 第25条 開示 |
| 開示等の求めに応じる手続き等 | 開示、内容の訂正、追加または削除、刺用の停止、 消去及び提供の停止について応じる手順 | 第26条 訂正等 |
| 第27条 利用停止等 | ||
| 第29条 開示等の求めに応じる手続き | ||
| 教育 | 従業員に対し、定期的に教育を行う | 明文化されていない |
| 文書・記録の管理 | 個人情報保護マネジメントシステムの基本となる 要素を書面で記述し、文書、記録を管理する | 明文化されていない |
| 苦情相談対応 | 苦情及び相談を受け付けて迅速な対応を行う | 第31条 個人情報取扱事業者による苦情の処理 |
| 運用確認 | 事業者の任意 | 定めていない |
| 是正処置・予防処置 | 事業者の任意 | 定めはないが是正されなければ罰則の適用あり |
| 代表者の見直し | 事業者の任意 | 定めていない |