(注）このマークを付与機関の許可なく使用することを、堅く禁じます。無断使用した場合は、法的な対応をとります。

ご存じでしたか。個人情報の流出や漏洩に関わる事件は、マスコミ等で報じられたものだけでも、今年すでに100件あまりに上っています。20世紀終盤の世界的な課題であった地球環境問題と同様、個人情報保護は今後、企業にとって最大の課題になると予想されます。それはIT社会の進展にともない「人・もの・金」に加えて「情報」がきわめて重要で有効な価値を持っている、と考えられるようになってきたからです。

プライバシーマーク制度は、事業者側の行う個人情報保護に対する自主的な取組みのひとつとして制度化されたもので、IT産業に携わる企業は必ず熟知しておかねばならないとも言われています。しかし、マーク使用に至るまでには多くの手続きが必要であり、また企業風土の有りようにも関わるため、おいそれとは手を出しかねている企業も多いのではないでしょうか。

そこで今回はプライバシーマーク制度の概要を、できるだけ分かりやすく説明してみましょう。

ページのトップへ▲

制度制定の背景

近年のITの進化は「情報」に対する私たちの考え方を一変させました。それはITを利用することによってだれもが、世界中に存在する膨大な情報を瞬時に処理し、また利用できるようになったからです。言うまでもなくその情報の中には、個人情報も含まれています。かつて私たちは、自分の情報が他人に利用されることに対してほとんど関心を払っていませんでしたが、今は違います。自分自身に関わるさまざまな情報が勝手に世界中に出回り、知らないうちに使われ、時には人権の重大な侵害にまでおよぶケースがあるかも知れないからです。

電子政府すなわちe-Japan計画の推進にあわせて日本政府は、個人情報保護に関する法整備を行っています。平成15年5月には「個人情報に関する法律」が公布され、平成17年4月より施行されることになっており、個人情報を取り扱う事業者にはすべて、遵守すべき義務が課せられることになりました。そこには、これまであいまいだった個人情報に関する概念の明確化、現代社会において必要不可欠な個人情報保護ルールの確立、国・自治体における法律上の措置と条例上の措置の促進、そして民間事業者の法律に向けた努力が払われることに対する期待、などが謳われています。

プライバシーマーク制度は、個人情報を取り扱う事業を行っている民間事業者が、自らの努力によって個人情報保護に取り組むための社会システムであり、個人情報を適切にまた有効に活用する社会を創造していくための制度として、通商産業省（現・経済産業省）の指導を受けて、JIPDEC（財団法人日本情報処理開発協会）が創設し、平成10年4月1日より運用を開始したものです。

ページのトップへ▲

個人情報とは何か？

個人情報とは一体どんな内容の情報を指しているのでしょう。たとえば個人の姓名、住所、電話番号などはごく当たり前のようにやり取りされ、電話帳などはそれこそ個人情報の宝庫と言えます。しかし電話帳など公知の情報も、電話番号を検索すると言う目的以外に利用されるときには、個人情報保護の考え方に違反することになると考えられます。つまり本人の同意を得ないで個人情報が利用されるのは望ましくない、という考え方です。

プライバシーとは「個人の私生活や家庭内の私事。また、それを、他の個人や社会に知られず、干渉を受けない権利」（小学館国語大辞典）とされています。プライバシー権の侵害について私たちはある程度了解しているはずですが、これは特定の個人に対する犯罪です。しかし個人情報保護法は、それとは別に、事業者が個人情報の保護を怠った責任を問うための法律で、たとえば情報の漏洩事件を起したとすればそれは、個人のプライバシー権の侵害とともに個人情報保護法の侵害でもあることになります。

現在考えられている「個人情報」とは「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、または個人に付けられた番号、記号その他符号、画像もしくは音声によって当該個人を識別できるもの（当該情報だけでは識別できないが、他の情報と容易に照合することができ、それによって当該個人を識別できるものを含む）」ということになります。

個人情報を膨大に取り扱う事業者が増え続け、時には適切な取り扱いがなされず、個人に多大な被害や社会に対する不安が広がっているところに、大きな問題があります。

個人情報の取り扱いを巡る現状としては、個人情報が

• 知らない間に集められている
• 知らない間に使われ、あるいは売買されている
• 改ざんされて使われている
• 社会に漏洩し、公表される

などを挙げることができます。

これらは個人にとって不安であり、場合によっては重大な犯罪であるのはもちろんのこと、情報を漏洩した企業にとっても、社会的な信用の失墜と言う事態を招くことから、重大な社会問題へと発展してきています。

ページのトップへ▲

プライバシーマーク制度の概要

プライバシーマーク制度をひと言で言えば「個人情報保護に関する事業者認定制度」であり、内容に即してやや詳しく説明すれば「JIS Q 15001に基づいた個人情報保護に適合したコンプライアンス・プログラム（CP）を整備し、個人情報の取り扱いを適切に行っている事業者を、第三者機関である付与機関のJIPDEC（財団法人日本情報処理開発協会）およびその指定機関が評価・認定し、その証しとしてプライバシーマークと称するロゴの使用を許諾する制度」と言うことができます。

ここで、

1. 「JIS Q 15001」と「コンプライアンス・プログラム（CP）」
2. プライバシーマーク指定機関・同付与機関
3. プライバシーマークの認定と使用

というキーワードをかんたんに説明しなければなりません。

(1) JIS15001とコンプライアンス・プログラム（CP） 平成10年3月、国会で「個人情報保護に関するコンプライアンス・プログラムの要求事項」（JIS Q 15001）が制定されました。コンプライアンス・プログラムは「法令実践遵守計画」と訳され、つまり事業者が行う個人情報保護のためのマネジメント・システムを意味します。 事業において適正に個人情報の保護を実施しようとする企業は、そのための社内体制を構築しなければなりません。その際、計画を立案し（Plan）、それを実施し（Do）、計画通り実施されているかを監査し（Check）、不備な点があれば改善する（Action）という、いわゆるPDCAサイクルが有効であるとされています。 プライバシーマークの認定事業者になるためには、JIS15001に基づき、自社の事業に即したCPを策定し、付与機関または指定機関に提出しなければなりません。 (2) プライバシーマーク指定機関・同付与機関と認定手続 プライバシーマーク制度の組織概要は下図（プライバシー制度の概要「組織図」）のようになっており、認定の手続きもその流れに準じています。 付与機関であるJIPDEは、プライバシーマーク制度の運用機関としてプライバシーマーク制度委員会を置くとともに、指定機関を指定する役割を果たし、さらに指定機関の役割も兼ねています。 指定機関は正式にはプライバシーマーク付与指定機関と称し、付与機関によって指定された民間事業者団体です。指定機関はおもに、 会員各社からのプライバシーマーク付与の申請の受付 プライバシーマーク付与の申請の審査 付与可否の決定 プライバシーマーク付与の認定を受けた会員の指導、監督 個人情報保護の推進のための環境整備 を行います。 付与機関・指定機関ともに、消費者等からの個人情報の保護に関わる問合せ、苦情等を受け付け、対応する消費者相談窓口も行ないます。 プライバシーマーク制度の概要「組織図」 付与機関はJIPDEだけですが、指定機関は平成16年6月現在 社団法人 情報サービス産業協会 社団法人 日本マーケティング・リサーチ協会 社団法人 全国学習塾協会 財団法人 医療情報システム開発センター の4機関が、付与機関によって指定されています。 プライバシーマーク付与の認定には以下のような手続きが必要です。 プライバシーマーク付与申請書類を作成し、付与機関または指定機関に申請する。 付与機関あるいは指定機関が書類審査する 付与機関あるいは指定機関が、申請事業者を現地調査する 審査結果の通知 プライバシーマーク使用契約の締結 プライバシーマーク使用許諾事業者の公表 特に、申請書類のうちのCP策定に重点が置かれていることは、これまでの説明からも判断できると思います。個人情報保護に関するCPは、決まったマニュアルがあるわけではありません。企業や事業内容によって実行可能なプログラムには大きな違いがあるからです。そのため、申請者は会社や事業の実情に即したCPを策定する必要があります。また審査には一定の費用が掛ることは言うまでもありません。 プライバシーマーク制度の概要「申請書類」 プライバシーマーク制度の概要「認定に係わる費用」 （注） 平成16年12月1日（水）より、プライバシーマーク料金の改定されます。 新料金については下記URLまたは、（財）日本情報処理開発協会プライバシーマーク事務局でご確認ください。    http://privacymark.jp/appl/rkn0.html (3) プライバシーマークの認定と使用 プライバシーマークの使用を認定された企業は、自社の公報宣伝や営業活動にマークを使用することができ、個人情報に対する企業姿勢と取り組みを消費者や取引先、そして広く社会に公表することができます。 もし個人情報に係わるトラブルが起こったときは、CPに沿って適切に対処するとともに、付与機関や指定機関の支持に従いながら、トラブルの原因を究明し、再発防止に積極的に努めなければなりません。 なお、マーク使用の認定機関は指定から2年間で、更新にあたっては2年ごとに付与機関・指定機関の審査を受ける必要があります。

ページのトップへ▲

プライバシーマーク使用認定取得の意義

平成16年10月現在、プライバシーマーク使用の認定を受けている企業は902社あります。現在、マーク使用の認定を申請している企業があまりにも多いため、認定にはかなりの時間が必要になっているとさえ言われています。申請手続きや組織作り、社内教育など、プライバシーマークの認定には非常に複雑な手続きと難題が山積しているにもかかわらず、多くの企業がこれに社運を賭けて取組んでいることが分かります。

それはやはり、情報の氾濫する現在社会にあって、消費者自身が自分の個人情報の取り扱いに大きな関心を抱いていること、それにたいして多くの企業が、個人情報の取り扱いを適切に行なっていることを消費者や社会に示す必要に迫られていること、そしてまた、情報を提供、預託する取引先企業に信頼されなければ仕事を任せてもらえない状況になってきていることが大きな理由です。

個人情報を適切に扱う姿勢を持ち続けることこそが、これからの厳しいビジネス環境を企業が勝ち残っていくための必須条件であることを、再度確認しておきたいものです。