個人情報の保護措置が適切な事業者に対する認定制度
プライバシーマークとは、個人情報の取り扱いについて、適切な保護措置を行っている事業者に与えられる「信頼と安心」のマークのことで、1998年4月に(財)日本情報処理開発協会(JIPDEC)を付与機関としてプライバシーマークの制度が発足しました。
2005年に「個人情報保護法」が制定されるまでは、行政機関以外の個人情報保護に関する包括的な法律は存在せず、民間組織は、所属団体のガイドラインを利用し、自主的に取り組むしかありませんでした。そこで、積極的な取り組みを行っている事業者を評価しようと発足したのが「プライバシーマーク制度」です。
事業者はこのプライバシーマークの認定を受けることにより、企業の信頼を失墜させる個人情報漏洩などのトラブルに対する対策を立て、予防することが可能になります。その結果、発生時の影響を最小化することができ、信頼を獲得することにつながります。
発足当初はさほど注目されていませんでしたが、インターネットの急速な普及で個人情報の漏洩の影響がかつてないほど大きくなったことを受け、近年は認定事業者が急増しており、特に取引先からデータを預かり入力を行う「計算センター」や「データエントリーサービス業」をはじめ、「システム開発会社」、「市場調査会社」などのサービス業が全体の75%を占めています。次いで、クレジットカードや名刺、卒業アルバムなどを取り扱うことの多い「印刷・出版業」となっています。
また、近年は顧客の動向を探るマーケティングに力を入れようとあらゆる企業が個人情報を保有することになり、その結果として個人情報取扱業者とみなされる企業が増えたという背景もあります。
プライバシーマークの認定には、JIS Q 15001に準拠した個人情報保護マネジメントシステムを定めていることと、それに基づいて個人情報の適切な取り扱いが実施され、または実施可能な体制が整備されていることが最低条件となります。なお、有効期間は2年間で、更新手続きによって以降2年ごとに更新することになります。
個人情報とは、生存している個人に関する情報で、氏名や住所、生年月日はもちろんのこと、個人の身体、財産、社会的に地位などの事実や評価を表す情報、さらには遺伝子情報(DNA)や、他人からの評価、学歴・職歴などの情報も対象となります。
また、既に亡くなっている方に関する情報でも、生存する遺族本人に関することが含まれている場合は、その生存する個人に関する情報として扱われます。さらに、会員番号やコード番号など、それだけでは個人を識別できないものの、一覧表などを利用して照合すれば容易に特定個人を識別できるものも個人情報として扱われます。
個人情報保護法は大規模なデータベースを構築し膨大な個人情報を蓄積する「電子情報」に関する法律ですので、紙に記載された情報は取締りの対象にならないとする考え方が以前はありましたが、現在は紙に書いた情報も個人情報として取り扱うよう指導するのが監督官庁の方針となっています。
プライバシーマークを取得するメリット
ファイル交換ソフトなどによる個人情報の漏洩事件や個人情報保護法の制定などにより、一般消費者の目が厳しくなか、プライバシーマークを取得するということは、個人情報を適切に管理している企業とみられ、消費者からの信頼度がアップし、企業取引などにおいて他社との差別化を図ることができるというメリットがあります。
例えば、企業のHPで「当社は個人情報の保護には万全を期しています。」と文章だけ掲載している企業と、その文章の上に公的な第三者認定のプライバシーマークを掲載している企業とではどちらがより信頼性を得ることができるかということです。「個人情報を守っている企業」という良い評判を得ることは、情報・サービス・金融・その他顧客情報を取り扱う全ての業種に必要不可欠なことといえます。
「プライバシーマーク」を付与された事業者は、プライバシーマークを広告や店頭、ホームページ、パンフレット、名刺、説明書、便箋・封筒に明示することで、外部に対し個人情報の適切な取り扱いをアピールすることができます。近年は取引先や委託先の選定基準として「プライバシーマークを取得した企業」であることが求められるケースも増えており、今後はこの傾向が強くなるものと予想されます。
また、プライバシーマークを取得する過程において、以下のようなメリットがもたらされることが期待できます。
社内意識の向上
プライバシーマークを取得するために社内でマネジメントシステムを構築する必要があります。その過程で、個人情報保護の重要性を従業員が認識する機会を提供することになり、社内の個人情報に関する意識の向上を導くことができるでしょう。
情報セキュリティの向上
個人情報保護に関する規定・マニュアルなどの整備、個人情報保護のためのセキュリティ対策の構築などを行う家庭で、企業等の情報セキュリティ基準が向上することが期待できます。プライバシーマーク付与の基礎となるJISQ15001は、個人情報保護法よりも厳しい内容を要求していますので、各企業としてはプライバシーマーク取得のための社内体制を構築することによって、結果として個人情報保護法に十分対応できる体制を実現することができます。
ISMSとの相違点
ISMSとはInformation Security Management Systemの略で、日本語では情報セキュリティマネジメントシステムといいます。この認証は、情報および情報システムを犯罪や災害(ネットワークからのウイルスや不正アクセスなどの攻撃や、火災、地震、持ち出し、破壊など)から守るためのマネジメント体制を確立するためのシステムです。ISMSとプライバシーマークの相違点は、以下の通りです。
| プライバシーマーク | ISMS | |
| 自社で保有する個人情報のみが対象で、主としてBtoC(企業体個人の取引)が中心。 | 対象は情報全般のセキュリティに関わるものなので、BtoB(企業間取引)が中心。 | |
| 認証取得範囲は「企業」と決められています。 | 「部署」「事業所」「工場」レベルで選定が可能。 | |
| JIS Q 15001に基づいて運用されます。 | ISMS適合性評価制度に基づいて運用されます。 | |
大手企業がプライバシーマークを取得する際、情報セキュリティシステムを構築するためにISMSを基準にすることがよくあります。しかしながら、ISMS基準を達成するためには多額の費用と時間がかかるので、中小企業の場合は、必要なものを絞り込んで、対応する必要があります。