fbpx

情報セキュリティにまつわる
お役立ち情報を発信

個人情報を守るPマークの認定基準とは?

Mountain View 

プライバシーマーク(Pマーク)制度とは、企業が保有している情報を基準に沿って取り扱っているかを評価し、適正と判断した事業者を認定する制度のことをいい、それらは、日本工業規格の「JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項」が認定基準となっています。

また、同時に「JIS Q 15001」で定められている個人情報保護法のほか、各省庁が作成した情報保護法に関するガイドライン(主務大臣策定のガイドライン)や地方自治体による条例、業界のガイドラインなども、認定基準として取り入れられていますので、求める基準が比較的厳しい制度であるといえます。

認定された事業所は、保有している(あるいは取得した)個人の情報を活用しながら事業を展開すると同時に、その保護に務めることを要求されます。

起こりうるリスクを予測し、それらに対する情報の取り扱いに関する方針を定め、情報を適切に取り扱うことができる組織的な仕組みを構築し、運用を維持継続しなければなりません。

情報の取り扱いとは、一見「保護する」ことだけに重きを置かれがちですが、現実的には「活用する」ことの両面があり、そのどちらも疎かにすることはできないのです。

事業者の基準

プライバシーマーク(Pマーク)を取得する要件を満たす事業者とは、JIS Q 15001では「事業を営む法人その他団体又は個人であること」と規定されており、日本国内の事業者のみが対象となります。

また、プライバシーマークの適用範囲も国内に限定されています。

付与事業者の業種については、現在のところ、サービス業が最も多く、次いで卸売・小売業、運輸・通信業、金融・保険業、飲食店製造業、建設業などさまざまです。

ほかにも、農業や林業、行業、鉱業、電気・ガス・熱供給・水道業など、組織的な制限はとくに設けられていません。ただし、1名のみで自営しているフリーランスの場合には、プライバシーマークを取得することはできません。

というのも、プライバシーマークを付与する条件として、JIS Q 15001規格で実現するPMS(個人情報保護マネジメントシステム)の実施と運用が必須となっていますので、プライバシーマークを運用していくための陣頭指揮を執る「情報保護管理者」と、監査全体を指揮して責任を持つことができる「情報保護監査責任者」など、最低でも2名の人間が必要となるからです。

もちろん、管理者と監査責任者を兼任することはできませんので、最低でも2名以上の社員が在籍している事業所であることが事業者の基準となっています。

また、プライバシーマーク制度では、取得活動を行ってマークが付与されたらそれでおしまいというわけではありません。

マークの有効期間は2年間のみで、その期間に限ってマークの使用が許されます。

有効期限が近づいたら、あらためて更新の審査申請を行わなければなりません。

再度、審査が行われたうえで、付与適格が決定すると、引き続き2年間のマーク使用期間が延長されることになります。

個人情報関連の条例

個人情報関連の条例には、プライバシーマーク(Pマーク)制度だけではなく、さまざまなものがあります。

委員会が定めている条例のほかにも、東京都や神奈川県、横浜市などの各自治体で定められている条例もあります。

その他の関連法令・規範としては、警察庁が定める「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」や、厚生労働省の「労働者派遣事業の適正な運営の確保及び派遣労働者の就業条件の整備等に関する法律」、総務省・消費者庁の「特定電子メールの送信の適正化等に関する法律」、経済産業省の「特定商取引に関する法律」など、さまざまな条例があげられ、それぞれに非常に細かな要求がなされています。

プライバシーマーク制度に関して言えば、付与された事業者は、個人の情報を取得する際には、その利用目的および第三者に提供するかどうかなどの必要な事項を通知し、明示された内容について同意がなければ取得することはできません。

また、取得の際に交わした約束通りに情報を利用することが条件となっており、異なる取り扱いをする場合には、あらかじめ明確に提供者に通知し、同意を取り直す必要があります。

また、提供者の要求があれば、取得して保有している情報の開示や訂正、削除に応じなければなりません。

もちろん、利用の停止や第三者への提供の停止などにも対応し、取得した情報を安全かつ正確に管理することが大前提となっています。

情報の取り扱いの全部または一部を、他社に委託して行う場合には、同等の保護体制が構築されている事業者を選択し、委託期間にも適正に管理と監督を行うことが条件となります。

他社から情報提供を受ける場合には、適正に取得したものであるかを事前に確認を行い、問い合わせや苦情などには迅速に対応しなければなりません。

また、上記内容を含むプライバシーポリシーについて、ホームページなどで公表することが条件となっています。

用語ミニガイド

プライバシーマーク(Pマーク)の取得活動をするにあたって、さまざまな用語を目にする機会も多くなってきます。

例えば、個人の情報を取得したり、メールを送信する前に、本人に事前に同意を得て取り扱う「オプトイン」や、受取者の許諾なく、一方的に広告メールを送りつける「オプトアウト」、また、セキュリティ関連では「暗号化」や「SSL (Secure Socket Layer)」、「フィッシング (Phishing)」、「USBメモリー (Universal Serial Bus Memory)」など、一度は耳にしたことがあるものの、厳密な意味などは説明することができるでしょうか。

プライバシーマークの取得を目指す場合には、情報の取り扱い方法やルーチンについてだけでなく、これらの用語などの基礎知識もある程度必要となってきます。

ただし、業種や取り扱っている情報などは企業によってさまざまですので、どうしても知識に偏りが生じてしまうのが現状です。

社内全体に正しいプライバシーマークの基礎知識を浸透させるためには、これまで多くの企業のプライバシーマークの取得に携わってきたプロのコンサルタントの力を借りるのが得策と言えるでしょう。

「プライバシーマーク取得支援サービス」などのコンサルティングサービスを上手に活用すれば、定期的なセミナーなどで常に新鮮な情報や知識を取得することができますので、マーク取得後にも効率よく運用を維持することができるようになります。

せっかくプライバシーマークを取得しても、しっかりと運用を継続することができなければ意味がありません。

自社だけの学習では限界があると感じた場合には、このようなサービスを活用するのも一案です。

プライバシーマーク(Pマーク)の認定基準は、所定の条件さえきちんと満たすことさえできれば、それほど難しいものではありません。

したがって、プライバシーマークの取得活動自体は、自社だけの努力で試行錯誤しながらも取得できたという企業は少なくないようです。

とはいえ、やはり手探りの状態で認定基準を満たすところにまで到達するには、やはりある程度の期間が必要となってきます。

通常、「プライバシーマーク取得支援サービス」などのコンサルティングサービスを活用した場合には、事業所の規模や業種などにもよりますが、一般的には半年程度であると言われています。

しかし、自社のみで取得する場合では、長ければ2年近くもかかってしまったという例も多くあります。

競合他社との兼ね合いで取得を急いだり、事業拡大を考えている場合には、かえってコストが膨らんでしまう可能性もあります。

スピーディな取得はもちろん、取得後の安定した運用を目指すことで、少しでも早く取引先からの信頼を確保することができます。

また、プライバシーマークの取得活動を行う社員が専任ではなく、日常の業務と兼任している場合には、普段の業務効率を落としていることにもなりますので、コンサルタントを利用することで、結果的には大きなコスト削減に繋がることになります。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る