プライバシーマーク制度の概要

社内の個人情報保護体制が完備されたことを第三者が保証する制度

プライバシーマーク制度とは、個人情報の取扱いに適切な保護措置を講ずる体制を社内に整備している民間の事業者に対して、第三者認証という形でマークを付与し、事業活動での使用を認めるものです。

業種別では情報処理サービスが多い

制度の目的・意義としては、『社内の個人情報保護体制が完備されたことを第三者が保証すること』と『保護体制を完備したものの取引先や消費者に対して、取引等をする際の判断材料としてもらうこと』の2つが挙げられます。

プライバシーマーク制度の認証を受けた事業者は、一定レベルかつ必要レベル以上の個人情報保護に対する体制を完備していることになります。このことにより取引先や消費者も自身の個人情報の取扱に対して、プライバシーマーク制度の認証を受けていないものよりも安心して取引ができることになる保証になります。

認証を受けるためには、JISQ(日本工業規格)に基づくコンプライアンスプログラム(JISQ15001)に従い、社内の個人情報保護体制を構築してきます。JISQ15001は、個人情報保護法及び各ガイドラインと内容が似ていますが、JISQは一種のマネジメントシステム・規格であるのに対し、個人情報保護法は法律・指針、という性質の違いから、いくつかの面で取扱を異にしている規定があります。

社内の保護体制を完備した後、認証機関に申請を行います。認証機関は社内の体制が完備されたか、そしてそれがキチンと社内で運用されているかなどの点を監査し、問題がなければプライバシーマーク制度の認証をします。認証機関は2年間となっており、2年を経過するときに更新手続きをふまえて、それ以降2年後との更新となります。

ISMS制度との比較
ISMSでは、組織が持つすべての情報資産が対象となるため、ボリュームが飛躍的に大きくなり、広範囲な対策が不可欠となる。

プライバシーマーク取得のポイント
組織のトップが個人情報保護に積極的に取り組んでいるかどうかが重要なポイントとなります。現地審査で行われるトップのインタビューを通して、真摯に取り組んでいるか否かが判断される可能性が大きい。

個人情報保護法の構成と目的
6章から構成されており、個人の権利と利益を保護するために、事業者に対し、様々な義務と対応を定めることを目的としている。

JISQ15001
日本工業規格の一つとして、「民間部門における電子計算機処理に係わる個人情報の保護に関するガイドライン」をベースに作成。

JISQ15001の要求事項
組織の方針を策定し、PLAN(計画)、DO(実施及び運用)、CHECK(監査)、ACT(代表者による見直し)を実施する。

各省庁のガイドライン
管理方法の決定の際には、個々の業界の主務官庁が公表しているガイドラインなどを参考にするようにとの規定がなされている。

個人情報の管理のポイント
アクセス権者を明確にして、誰がいつ、どんな目的でアクセスしたのかの記録や履歴をログとして残すようにすることが重要。

利用目的の特定
提供した本人が利用目的を知ることができるようにすることで、次の行動を起こすことを容易にし、プライバシーの侵害を回避。

日本情報処理開発協会(JIPDEC)
情報化人材育成研修 個人情報保護、Pマーク審査員補研修等を開催するほか、IT研修等の受託を行う機関。

内部統制ガイド
金融商品取引法(J-SOX法)の施行で導入が義務付けられた内部統制と関連する認証・規格を解説。
近年注目のCFE(公認不正検査士)CIA(公認内部監査人)などの資格の試験情報、合格率なども紹介しています。

経済産業省
(旧:通商産業省)報道発表資料、統計情報、通商白書の紹介している。