Pマークの適用範囲とは？

会社には様々な種類の個人情報があります。プライバシーマーク（Pマーク）を取得すれば全社を挙げて個人情報の安全な取り扱いに努めることになりますが、実際にはどこまでの範囲の個人情報についてプライバシーマーク（Pマーク）のルールが適用されるのでしょうか。プライバシーマーク（Pマーク）のルールを適用しなくてもよい個人情報というものもあるのでしょうか？

適用範囲とは？

プライバシーマーク（Pマーク）には「適用範囲」という概念があります。「適用範囲」とはプライバシーマーク（Pマーク）の規定が適用される個人情報の範囲のことです。

プライバシーマーク（Pマーク）の規格書であるJIS Q 15001はプライバシーマーク（Pマーク）の適用範囲について次のように定義しています。

「この規格は，個人情報を事業の用に供している，あらゆる種類，規模の事業者に適用できる個人情報保護マネジメントシステムに関する要求事項について規定する。」

この表現からプライバシーマーク（Pマーク）が適用される個人情報の範囲についていくつかのことが読み取れます。

私的に利用される個人情報には適用されない

プライバシーマーク（Pマーク）が適用されるのは「事業の用に供している」個人情報であるとされています。

そうなると当然事業と関係ない人が事業と関係ない目的で利用している個人情報にはプライバシーマーク（Pマーク）の規格であるJIS Q 15001は適用されないことになります。

仮にあなた個人がまったくプライベートな目的で友人や知人の電話番号やメールアドレスを携帯電話に登録して持っているとしても、そのためにプライバシーマーク（Pマーク）の要求事項を実施する必要はないということです。

営利目的でなくても事業で利用している個人情報は適用範囲に含まれる

「事業の用に供している」個人情報とは事業を営む中で利用している個人情報のことです。これは個人事業主であれ法人であれ“事業”の目的でだれかの個人情報を取得しているなら、その個人情報はすべてプライバシーマーク（Pマーク）の適用範囲に含まれることを意味します。

それでは事業で利用しているものの“営利目的で利用しているわけではない”個人情報についてはどうでしょうか。そのような個人情報も「事業の用に供している」ことには変わりありませんので、やはりプライバシーマーク（Pマーク）の適用範囲に含まれます。

「事業で利用しているものの営利目的で利用しているわけではない個人情報」とはたとえば従業員の個人情報のことです。

確かに従業員の個人情報を利用したからといって直接何かの利益が生まれるわけではありません。しかし業務に従事させる目的で個人情報を取得するわけですから、プライバシーマーク（Pマーク）を取得・更新している会社は従業員の個人情報もプライバシーマーク（Pマーク）の適用範囲に含むものとして適切に取り扱わなければなりません。

まとめ

プライバシーマーク（Pマーク）取得会社は、自社の個人情報保護マネジメントシステム規程が事業で利用しているすべての個人情報を対象としていると読み取れるようにする必要があります。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】