ホーム >
富士通ジャーナル >
経営お役立ち情報 >
個人情報の重要性 >
第5回プライバシーマーク制度

第5回プライバシーマーク制度

「プライバシーマーク制度」は、財団法人日本情報処理開発協会(JIPDEC) が1998年から行っている「個人情報保護に関する事業者認定制度」です。認定されている旨を示すロゴ「プライバシーマーク」を付与します。
認定にあたっては「JIS Q 15001」に基づいた審査を行い、該当する事業者の事業活動に対して「プライバシーマーク」の使用を認めています。対象となる個人情報は、オンライン／オフラインなどの入手経路を問いません。また、顧客情報だけに限らず、社員情報や採用情報など、企業で保有するすべての個人情報について適用されます。

プライバシーマークって何？

プライバシーマーク制度は、日本工業規格(JIS) に基づいて審査をしています。しかし、事業者認定であって製品やサービスに対する認証ではありません。「JISマーク」とは違います。
プライバシーマークは個人情報保護にしっかり取り組んでいる事業者であることを示すマークです。「マークがないと取引から外す」というクライアントが出てきているために、システム開発に関わる企業等でプライバシーマークを取得しようとする動きが強まっています。
認定されたマークを、「店頭」「契約約款」「説明書」「宣伝・広告用資料」「封筒」「便せん」「名刺」「ホームページ」などに使うことができます。

認定を得るためには！

JIPDECが認定機関ですが、指定機関（現在4団体＝情報サービス産業協会、日本マーケティング・リサーチ協会、全国学習塾協会、医療情報システム開発センター）でも行っています。指定機関は業界団体に限られており、申請できるのはそれぞれの団体の会員に限定されています。会員でない事業者はJIPDECへ直接申請することになります。
指定機関4団体が自社の属する業界団体である場合には、団体に加盟して指導を受けながらプライバシーマークの取得に進むのが正解でしょう。これは、自動車免許を取得するために自動車学校に通うか、それとも運転免許試験場で一発受験するのか、の違いに近いかもしれません。
4プライバシーマークの申請には、「JIS Q 15001」の要求事項に基づいた「コンプライアンス・プログラム(CP)」を作成し、取り組まなければなりません。認定後であっても「取消や勧告」措置があるので、CPの文書化や体制の整備だけではなく、しっかり実施して、実績を積むことが必要です。

認定を維持するのが大変！

認定期間は2年であり、2年毎に更新審査を受けます。今のところ2年に1回しか審査を行っていませんが、認定後のフェイルセーフ措置として、情報主体(本人)からの苦情に対して、「苦情処理窓口」を設け、事実を調査し、事と次第によっては、勧告・取消などの措置をとることもあります。手順の実施状況を確認する上でサンプリングチェックを採用しています(ヒアリングがメイン)。しかし、時間的な制約があるので、個人情報の取扱量などの状況を考慮した上でのサンプリングになっています。
これからは新規も更新も審査が強化されるようです。たとえば、内部のID管理などのアクセス制限について厳しくするとのことです。JIPDECも各指定機関も審査員を増員しています。また、指定機関を増やす動きがあります。
実際には、新規に認定されるよりも認定を維持するのが大変です。少なくとも年1回以上の個人情報保護に関する教育を社内で実施し、認定機関あるいは指定機関の監査を受けなければなりません。
自社で保有している個人情報の収集(取得)、保管・利用、委託、提供、破棄、情報主体(本人)からの要求(開示、訂正、削除、拒否)に対する対応などの、一連の取り扱いについて適切に行う手順が確立されているかを審査しています。
認定を受けた事業者はもちろん、取り消しを受けた事業者名をJIPDECのサイトで公表しています。「注意・勧告」の場合は社名までは公表しない場合もありますが、社会的な影響が大きいため、「注意・勧告・取消」などの措置はかなり慎重に行っているようです。この2年の間にマークの使用を中止した事業者・取り消しした事業者が発表されています。