プライバシーマークは、相次ぐ個人情報の漏洩事件で注目されています
個人情報の取り扱いを適切に行っている事業者に与えられるマークで「Pマーク」とも呼ばれています。認定制度が創設された当初はあまり関心を持たれませんでしたが、昨今の個人情報の漏洩事件の影響からか、取得したり、または関心を寄せる民間事業者が急増しています。
JISQ15001:2006に準拠した「個人情報保護マネジメントシステム」の構築・運用・監査・見直しが行われていることが申請の条件となっています。
個人情報の範囲とは?
個人の身体、財産、社会的地位などの事実や評価を現す情報も対象となります。
プライバシーマーク制度の概要
個人情報の取り扱いについて、適切な保護措置を行っている事業者を評価する目的で導入されました。
ISMSとの相違点
自社で保有する個人情報のみが対象となるPマーク、情報全般のセキュリティに関わるものが対象となるISMS。
プライバシーマーク取得のメリット
第三者機関からの認定を受けることで、消費者からの信頼度がアップし、企業取引などにおいても差別化を図ることができます。
取得の過程で得られるメリット
各企業としてはPマーク取得のための社内体制を構築することによって、結果として個人情報保護法に十分対応できる体制を実現することができます。
プライバシーマーク取得の手順
方針の設定→アセスメントの実施→対策の立案と設定→計画内容の文書化→体制整備、教育訓練、運用→監査と改善→申請と認証の7ステップを経る必要があります。
申請にかかる費用
小規模企業は300,000円、中規模なら600,000円、大規模で1,200,000円となっています。
申請書類の一覧
「規定の様式」を利用し提出するものと、登記簿謄本、組織の定款、会社案内など事業者が別途用意するものがあります。全11種類。
申請の受付窓口
「付与指定機関」がある事業者はその付与指定機関へ、それ以外の事業者は(財)日本情報処理開発協会(JIPDEC)に申請します。
書類審査
個人情報の管理者が指名され、責任と権限の体制が明確に定められているかなどをチェックします。
現地審査
経営トップ、申請担当者、管理者、監査責任者等へのインタビューを通じて、組織のおける体制が整備され、実施・運用がなさされているかをチェックします。
認定通知と更新審査
認定通知を受けると、有効期間(2年)以内に更新審査が実施され、そのサイクルが繰り返されます。
マークの使用
自社ホームページへの掲載、店頭表示、名刺・封筒・便箋・契約約款・会社案内・パンフレットなどの宣伝・広告用資料への使用ができます。
個人情報保護法とは?
個人情報が企業の外部に流出したり、不正な目的のために第三者に売買されるなどの事件が相次いだことを受け、プライバシー保護の観点から2003年5月に制定されました。
法律の目的
国及び地方公共団体の責務を明らかにするとともに、事業者の遵守すべき義務を定め、個人の権利・利益を保護することを目的としています。
罰則規定
主務大臣の命令にも違反した場合、6ヶ月以上の懲役か30万円以下の罰金に処せられます。
JIS Q 15001:2006
個人情報保護の基準を定めたJIS規格のことで財団法人日本規格協会(JSA)が発行しています。
個人情報保護マネジメントシステム
PDCAのサイクルを通じて継続的な改善を実施することが重要なポイントとなっています。
個人情報の特定
部門や担当者によって見落としが生じないように、取引先の担当者の一覧表やバックアップ用媒体を挙げるなど、洗い出し基準を明確にして、手順書として整備しておきます。
法令、国が定める指針その他の規範
業務上において遵守しなければならない法令や指針を特定し、管理台帳等にまとめておき、従業員が必要なときに参照できるようにしておく必要があります。
リスクなどの認識、分析及び対策
安全管理措置面(漏洩、滅失はまた棄損等)だけでなく、従業者や委託先の法令違反やそのほか「本人」に与える影響について幅広く捉えた視点での認識が求められています。
資源、役割、責任及び権限
マネジメントシステムの実施・運用に関する業務を行い、その運用状況について、事業者の代表者に報告を行う「個人情報保護管理者」を任命します。
内部規定
従業者がその手順に規定された業務に直面した際に、具体的に「何をしなければならないのか?」「何をしてはいけないのか?」を理解し実行できるものを作成しなければなりません。
計画書
個人情報保護マネジメントシステムを確実に実施するための必要な「計画書」の作成・維持に関する要求事項です。
緊急事態へ準備
被害を最小限に抑えるための手順を確立する必要があります。まず状況の把握です。個人情報の該当本人への影響を考慮して、被害の範囲を調査して、本人へ報告します。
利用目的の特定
収集した個人情報を、どのような事業に利用するのか、具体的に特定するように求めています。
従業者の監督
ここでいう「従業者」とは、正社員のみならず、契約・嘱託・パート・アルバイト社員等のほか、取締役・執行役・理事・監査役・派遣社員等と広い範囲が含まれています。
委託先の監督
個人データを取り扱う委託先が、十分な保護措置をとるように必要な監督をする義務があります。
苦情及び相談への対応
個人情報の利用や提供、開示・不開示に対しての本人からの苦情・相談への対応に関するJISQ15001の要求事項です。
個人情報保護マネジメントシステム文書
「個人情報保護方針」、「基本規定」、「各管理規定」、「各管理手順(細則、マニュアル、手順書など)」、「様式」、「記録」で構成されています。
点検
取り巻く環境の変化などに対して、個人情報保護マネジメントシステムが適切に運用されているかどうかを定期的に自ら確認することを求めています。
監査
体系的、かつ独立的な確認のプロセスで、「点検」と同様にPDCAモデルのCheckを担っています。少なくとも年1回以上の実施が必要です。
是正処置および予防処置
是正処置とは、不適合の内容を確認し、原因を特定したうえで、再発防止策を講じることを意味し、予防処置とは潜在的な不適合を未然に防ぐためのものです。
事業者の代表者による見直し
PDCAモデルのActとして、位置づけられており、代表者が出席する経営会議や情報セキュリティ委員会などの会議で検討されることが一般的です。
