プライバシーマーク制度とは？

2004.2.14, kit

◆	Home
◇	個人情報保護とは？
◆	プライバシーマークとは？
・	プライバシーポリシーと個人情報保護方針との違いは？
・	ISMS との違いは？
・	個人情報保護法との関係は？
◇	JIS Q 15001:1999 概説
◇	コンプライアンスプログラムとは？
◇	個人情報の安全管理
◇	Misc
◇	めも
・	プライバシーマーク/JIS Q 15001関連
・	個人情報保護法/国の施策

　プライバシーマーク制度とは、 (財)日本情報処理開発協会(JIPDEC) が 1998 年より行っている「個人情報保護に関する事業者認定制度」であり、その旨を示すロゴマーク「プライバシーマーク」を付与します。認定にあたっては JIS Q 15001 に基づいた審査を行い、該当する事業者の事業活動に対して「プライバシーマーク」の使用を認めています。対象となる個人情報は、 オンライン／オフラインなどの入手経路を問わず、 顧客情報のみに限らず、社員情報や採用情報など、自社で保有するすべての個人情報について適用されます。

プライバシーマーク制度の創設・運用開始について [1998.3.25]

1. 制度運営

　制度は運営要領に従って運営されており、認定を受けた事業者はもちろん、取り消しを受けた事業者名も公表されています。注意・勧告の場合は社名までは公表しない場合もありますが、社会的影響も大きいため、注意・勧告・取消などの措置はかなり慎重に行っています。
※特に B2B 事業者にとっては入札や受託の“選定条件”になってたりするみたいですから．．．

事業者リスト ※注意 700kB 以上!!
中止や変更した番号 ※更新辞退の他、合併や認定範囲の拡大も含む
注意・喚起事例
取消し事業者 ※事例があったが、欠格期間の２年が過ぎたので消されてます。

　プライバシーマーク制度は、日本工業規格(JIS) に基づいて審査をしてますが、事業者認定であり、製品やサービスに対する認証ではないので、「JISマーク」とは異なります。また、制度としても、特定の製品やサービスの信頼性を示すものではないですが、手順の実施状況を確認する上での具体事例として、サンプリングチェックの手法を採用してます(ヒアリングがメイン)。しかし、時間的な制約があるので、個人情報の取り扱い量などの状況を考慮した上でのサンプリングになります。

　認定期間は２年であり、２年毎に同様の審査(更新審査)を行っています。２年に１回しか審査を行いませんが、認定後のフェイルセーフ措置として、情報主体(本人)からの苦情に対して、“苦情処理窓口”を設け、事実を調査し、事と次第によっては、勧告・取消などの措置を取ることもあります。

**◎プライバシーマーク制度消費者相談窓口**
電子メール：	info@privacymark.jp
電話：	0120-116-213(消費者相談専用番号)
FAX：	03-3432-9419

2. 認定審査

　認定にあたっては、 JIS Q 15001:1999 の要求事項に基づいた審査をしており、自社で保有する個人情報の

収集(取得)、保管・利用、委託、提供、破棄
情報主体(本人)からの要求(開示、訂正、削除、拒否)に対する対応

などの、一連の取り扱いについて適切に行う手順が確立されているかを審査しています。プライバシーマークの申請には、 JIS Q 15001 の要求事項に基づいたコンプライアンス・プログラム(CP) 以外に、追加事項として、

日本に登記(本店／支店)された事業者
(原則として) 全社的な取り組み
過去２年間において“欠格事項”への非該当
個人情報保護方針の事業者ウェブサイトへの掲示
消費者相談窓口の設置と消費者への明示
年１回以上の教育と監査の実績

が必要です。認定後であっても“取消や勧告”措置があるので、 CP の文書化や体制の整備だけではなく、ある程度実施し、実績を積むことが必要です。消費者に誤解を与えないためにも、申請の単位は、原則事業者単位となってます。 “欠格事項”とは、 漏えい など、情報主体(本人)に不利益を生じさせた事例や、電話帳データなど、同意を得ていない(同意内容の範囲外)と思われる個人情報を利用・提供した事例を言ってます。

　プライバシーマーク認定の審査は JIPDEC 以外に指定機関でも行っています。 2003年６月末現在では、指定機関は業界団体に限られており、申請はそれぞれの団体の会員に限定されています。会員以外の事業者は JIPDEC への申請となっています。申請に当たっては、コンプライアンス・プログラム(CP) の策定だけではなく、年１回以上の教育、監査、代表者の見直しの実施が必要です。認定後であっても、勧告・取り消し などの措置があるので、仕組みの確立だけではなく、ある程度の 実効性 も必要です。

**◎申請、CP、JIS Q 15001 の解釈の質問など**
電子メール：	info@privacymark.jp
電話：	03-3432-9387(事業者向け)
FAX：	03-3432-9419

3. その他

　あとプライバシーマーク事務局では、 JIS Q 15001 に関する改訂のコメント・意見などを受け付けてます。その他、説明会などの普及・啓発活動、JIS などの規格・ガイドラインなどの策定協力、相互承認などの海外機関との連携なども行っています。

　なお、プライバシーマーク事務局や事務局員は、お中元やお歳暮などの金品や贈答品は受け取れませんので、ご注意のこと。

あとがき

　2004年２月13日現在、プライバシーマーク事業者リストの業種別集計を見ると、情報処理・サービス業と印刷・出版業だけで約 74 ％を占めており、単純計算で ７、８割 が「B2B 事業(受託) をメインとする事業者」が占めているかと思います。直接情報主体(本人)から個人情報を収集(取得)する「B2C 事業 をメインとする事業者」はまだまだ少ない状況ではないかと思います。この現象は、“情報処理業に限定されていた” 安対制度(2001年３月廃止) の代替制度としての役割や、後継制度としてスタートした ISMS 制度(業種の制限なし) への移行期間(暫定期間)であるのが理由かと“個人的には”思ってます(であると願います)。このような“過渡的な状況”を改善するために、自治体や民間の事業者の委託先選定基準や入札条件では、そろそろ「プライバシーマーク取得事業者」から「ISMS 取得事業者」や「ISO 9001 取得業者(33.情報技術)」の方へシフトして頂きたいと思ってます(願ってます)。

　ISMS 制度と比較した場合、プライバシーマークは、最悪の場合取消しの措置がありますし、もともと JIS Q 15001 は「対消費者向け」の規格であると思うので、受託がメインの事業者は、自社の業務特性と JIS Q 15001 とがマッチしないケースも多いと思います。また、B2B の場合、個人情報の取り扱いは、個々の受託の契約に依存するので、「個人情報保護方針」を具体的に書けないのではないかと思います。というのも、プライバシーマーク制度は、 2002年４月の申請書類の追加のように、今後、世の中の動向や消費者のニーズなどにより、レベル(審査や取消のしきい値など)を段々上げていくこと(が求められている)かと思います。近々 JIS Q 15001 自体も改訂されるかもしれません。消費者の個人情報保護(法)に対する知識やニーズが高まるにつれ、今後、B2B(受託)事業がメインの事業者は、これらに対応しづらくなっていくのではないかと思われます。最後に、自社の状況に合わない制度の認定を受けると、維持や継続的改善が十分行えず、そのために更新辞退という事態にもなるかもしれません。

[Home] [PDP] [PM] [JISQ15001] [CP] [Psec] [misc] [memo]	kit@antai.net
Last modified: Sat Feb 14 18:05 JST 2004
Copyright© 2003-2008 KITANO Hiroyuki All Rights Reserved.