あなたを特定できる個人情報を守るPマーク

「プライバシーマーク」とは、日本で生まれた認定マークで、個人情報の保護に関して所定の要件を満たした事業者あるいは組織に対し、 経済産業省の外郭団体である一般財団法人日本情報経済社会推進協会（JIPDEC）によって使用を認められる登録商標のことをいい、「Pマーク」とも呼ばれています。

「個人情報」とは、氏名や生年月日、性別、電話番号などの記述によって特定の個人を識別できるもの、あるいは、そのほかの情報（勤務先やクレジットカード番号など）と容易に照合することができることによって、特定の個人を識別できるものなども含みます。

重要なことは、個人に関する情報であること、特定の個人を識別できることの２つです。

例えば、氏名だけでは個人を特定することは困難ですが、氏名に勤務先や住所などのプロフィールが付加されることによって、その人物が誰であるかを知ることができます。

それらも含めたうえで、安全に保護する必要がある情報となっています。

しかし、JIS Q 15001では「死者の情報も含まれるが、歴史上の人物まで対象とするものではない」と解説されており、つまり、聖徳太子や夏目漱石など、偉人や歴史上の人物については、対象外となっています。

Pマークの有効期限

プライバシーマーク（Pマーク）とは、いったん認証されると、半永久にその使用を認められるものではなく、２年間の有効期限が設定されています。

更新申請は、有効期間の終了する8ヶ月前から4ヶ月前までの間に行わなければならず、審査に合格するためには、常に日常的な運用の見直しを怠らず、再度審査、付与適格決定を受けることで、さらに2年間のマーク使用が延長されることとなります。

プライバシーマーク取得をするということは、その後は、社内で情報を保護するPMS（個人情報保護マネジメントシステム）を 日々の業務のなかで本格的に運用して 「PDCAサイクル（PLAN＝計画、DO=運用、CHECK=監査、ACT=見直し）」で継続することが最大の目的となっています。

プライバシーマークを取得した企業の多くが、「取得よりも、その後の運用と維持の方が大変」という感想を持っているようです。

残念ながら、マークの取得活動をしている期間は、取得をすることがゴールのように思えるのですが、マーク取得はあくまでスタートラインに立ったということに過ぎません。2年ごとの更新時にも、取得の際と変わらないくらいの手間と費用が発生しますし、社員が会社にいる時間が少ない場合のPMSの運用や、社員の情報管理に関する定期的な教育など、管理者の悩みは尽きることがありません。

もしも、担当者に任命された場合には、まずは信頼して相談をすることができるコンサルタントを1名探すことが最も重要な仕事となってくるでしょう。

コンサルティングサービスを利用すれば、セミナーや勉強会なども利用することができますので、情報管理に関しての社員の意識改革もスムーズに行うことが可能となります。

Pマーク制度の審査を行う機関

現在、プライバシーマークの付与認定に関わる審査機関は18あり、審査機関は、会員からのプライバシーマーク付与に関わる申請の受付などのほか、審査と付与適格決定可否など、付与機関と協調しながら、プライバシーマーク制度の運用に重要な役割を担っています。

審査機関の主な業務は、各社からのプライバシーマーク付与の適格性審査の申請の受付などのほか、付与適格性審査の申請の審査、付与適格決定の可否の決定、プライバシーマーク付与適格決定を受けた会員の指導および監督、情報保護の推進のための環境整備、また、業界の模範となる情報保護のための業界のガイドラインの策定のほか、ガイドラインに基づく情報保護マネジメントシステムの策定などが指定されています。

民間の事業者が所属する事業者団体が、審査機関となっている場合には、プライバシーマーク付与適格性審査の申請および業界ガイドライン、情報保護マネジメントシステム並びに、申請に関する相談などは、当該審査機関に行います。

また、個人情報を取扱う国内に活動拠点を持った民間事業者を会員とする事業者団体で、プライバシーマーク付与の事業を主たる業務として実施する担当者を置くなど、付与に係る審査や運用を適切に行うことができる体制を整備している、情報保護に関して積極的に取り組んでいるなどの条件を満たしている場合には、審査機関として応募することが可能となっています。

審査機関の種類は、大きく分けて「業種対象の審査機関」と「地域対象の審査機関」の2種類に分類することができます。

Pマークの付与事業者

プライバシーマーク（Pマーク）を付与されている事業者については、一般財団法人日本情報経済社会推進協会（JIPDEC）の公式サイト内にある「プライバシーマーク付与事業者一覧」などで確認をすることが可能です。

平成21年度で付与を受けている事業者数は約11,000社前後、 平成23年8月の調査では12,000社以上であると発表されており、その主な業種は、情報サービスや調査業が圧倒的に多く、そのほかには、出版や印刷業、広告業、人材派遣業、職業紹介業、メーリングサービス業などが多く、やはり個人の情報の取得や利用、委託などを取り扱っている業種が多くなっています。

とくに大手の企業からの委託で情報を預かったり、取り扱いを行う場合には、企業側かPマークの取得を促される場合が多くなっています。

というのも、プライバシーマークを付与されている企業が、情報の取扱いを委託する場合には、十分な情報の保護水準を満たしている委託先を選定しなければならず、その安全基準の確立も求められているからです。

プライバシーマークの規格上では、付与事業者に対して、個人情報の委託先を選ぶための基準の決定と見直しや、委託先の特定と見直し、委託先の評価と再評価、委託先との契約などを求めており、自社だけの安全管理だけではなく、委託先による情報の流出や漏洩などについても、未然に防ぐための対策が必要となります。

たとえ、プライバシーマークを取得していても、情報漏洩のリスクは常に付きまとっているのが事実です。そのため、起こりうるリスクをあらかじめ想定して安全策を講じることによって、できる限りのリスク軽減が求められているのです。

目まぐるしく進化していくコンピューター社会で、いかに安全に情報を管理することができるかは、自社だけの対策では限界があるのも事実です。

プライバシーマーク取得支援サービスなどのコンサルティングサービスを利用しながら、プロからの客観的なアドバイスに基づき、スムーズな取得と運用を目指しましょう。

プライバシーマーク（Pマーク）の取得については、企業が保有している情報をしっかりと守って利用する仕組みがあること、また、組織の社員や従業員がそれらの規則を順守し対応することなど、社内規則を作る段階から審査が行われます。

とはいえ、初めてプライバシーマークの取得活動を行う場合には、どのようなことから始めるべきなのか、分からないことが多くあります。

まずは、自社で保有をしている情報をすべて洗い出すことから作業を始めますが、肝心なのは、自社の規模や業務内容、取り扱っている情報量や種類などに合った適切な運用ルールの構築をすることです。複雑で無理のあるルール作りをしたところで、その後の運用がスムーズに行われず、息切れしてしまう可能性もあります。

プライバシーマーク取得支援サービスは、マーク取得の際に利用することはもちろんですが、自社でマークを取得したものの、その後の運用が上手くいっていないという場合にも、相談をすることが可能です。

もしも、現在の運用方法に行き詰まりを感じている場合や、さらに効率の良いスムーズな運用に変えていきたいという場合などには、一度、プロからの客観的な視点でのアドバイスをしてもらうのもおすすめの方法です。