個人情報保護法とは「生存する個人に関する『氏名』『生年月日』などの情報で個人を識別することができる」 という「個人情報」を悪用する犯罪への対策として制定された法律です。

２００３年５月の時点で１章から３章まで施行となり、「国及び地方公共団体の責務」について述べられてきましたが、２００５年４月から６章まで施行され、「体系的（※１）に整理された個人情報（個人データ）を５０００件以上（※２）保有する企業」事業者に適用されるようになりました。
そこには違反者に対する罰則も制定されています。

個人情報保護法には基本的な内容が述べられており、具体的な内容については 「政令」「基本方針」「分野別ガイドライン」等に記されています。 個人情報保護法を理解し、遵守するためにはこれらも理解しなければなりません。

しかしただ法律を理解しただけでは個人情報保護体制を構築することは難しいと考えられます。遵法体制を維持し向上させるためには、何らかのマネジメントシステムが必要だからです。そのために参照できる規格として「ＪＩＳ　Ｑ　１５００１」（※３）があります。

そして個人情報保護や情報セキュリティが適正に実施されている証として、「認証マーク」が付与される制度が「プライバシーマーク」などです。
個人情報保護を適正に実施できる体制を構築していることを、お客様にアピールするためには、第三者認証の取得が有効です。
「プライバシーマーク」とは個人情報保護法の遵守体制を「ＪＩＳ　Ｑ　１５００１」を基準にして構築していることの認証です。

【個人情報保護の体系】
原則――――――――――――――――――――→具体化
個人情報保護法―→ＪＩＳ　Ｑ　１５００１―→第３者認証

※１　体系的に整理されている状態とは？ 個人情報が含まれる情報の集まりで、検索できる状態になっているものは 「個人情報データベース」と定義され、この状態が「体系的に整理されている」状態になります。 ・住所・氏名がＩＤで検索できるような会員データベース ・ユーザーＩＤとユーザーが行った取引が記録されているログ情報ファイル ・５０音順に並べられた他の人が利用できる状態の紙ベースの住所録や名刺 も全て「個人情報データベース」です。

※２　　５０００件の考え方 電話帳や市販の住所地図などを加工せずそのまま利用する場合は、個人データとして考える必要はありません。 ただし、これらのデータを抜き出し、新たな情報を追加するなどして、データベースを構築した場合には、５０００件に含めなければなりません。 また、これらによって個人情報を取得した場合は「通知」や「公表」、「本人同意」を含む個人情報としての一連の措置が必要になります。 また６ヶ月以内に削除するデータは「一過性の利用」のためのデータとして考え、５０００件のカウントには含みません。 逆に言うと、受付帳のような一過性のデータは、定期的に削除する必要があるということです。 また５０００件という条件は近い将来狭められるということもありますので急に適用事業者になって慌てないようにしたいところです。

※３　　「ＪＩＳ　Ｑ　１５００１」とは？ １９９９年に制定されたＪＩＳ規格で、日本における個人情報保護マネジメントシステムの標準になっていると同時に、プライバシーマークの認証基準でもあります。