“自己の個人情報をコントロールする権利”を最大限尊重し、この権利を保護するために、民間事業者を対象とした個人情報保護法（平成15年法律第57号）が2005年4月1日から施行される。 　それでは、民間事業者は何をすればよいのか？ 今回はこの疑問に答える。（TBCソリューションズ主任コンサルタント　植野俊雄）

　簡単に言うと、図-1のような個人情報保護の仕組みを作ることだ。個人情報の収集・利用について、OECD（経済協力開発機構）プライバシー・ガイドライン8原則の、（1）目的を明確にする、（2）適法で適正な手段で収集する、（3）収集目的以外の利用をしない、（4）データを適正（完全で最新状態）に保つ、（5）データを安全に保護する、（6）個人情報の取り扱いを公開する、（7）個人情報データの所在確認、訂正について本人の参加権利を認める、（8）個人情報の取り扱い責任者を明確にする──の仕組みを構築することだ。

　これの構築には、一般に「JIS Q 15001」を用いる。個人情報保護法で決められていることは、「JIS Q 15001」の規定にほとんど含まれている（厳密には少し差異があるが、構築の時に気を付ければよい程度）。逆に個人情報保護法では決められていないハウツーが、「JIS Q 15001」では一部規定されているので、構築するには「JIS Q 15001」を用いた方が便利だ。「JIS Q 15001」の規定と個人情報保護法の決まりの差異のイメージを図－2に示す。

　次回からは、前記の（1）から（8）についての具体的な取り組みを覗いてみよう。