プライバシーマークの基礎
プライバシーマークとは
1998年より一般財団法人日本情報経済社会推進協会(JIPDEC)が行っている、個人情報の取扱いを適切に行っている民間事業者に対して、“プライバシーマーク”の使用を認める制度です。プライバシーマークを取得することで、個人情報の本人や取引先に対して自社が適切に個人情報を取扱っていることをアピールすることができ、現在1万社を超える事業者がプライバシーマークを取得しています。
プライバシーマークの審査制度
プライバシーマークを取得するには、JIPDEC又はJIPDECの指定を受けたプライバシーマーク付与認定指定機関(指定機関)による審査を受ける必要があります。個人情報の取扱いを適切に行っているか(JISQ15001※1に準拠しているか)について、文書審査・現地審査が行われます。 プライバシーマーク付与の有効期間は2年です。このため、2年ごとにプライバシーマーク付与の更新を行う必要があります。
※1 JISQ15001:「個人情報保護マネジメントシステム―要求事項」
プライバシーマーク取得ステップ
プライバシーマーク取得までのステップは、以下のとおりです。
(1)個人情報保護推進体制の整備
社内から個人情報保護マネジメントシステム※2の実施及び運用の責任者である個人情報保護管理者、監査の実施及び運用の責任者である個人情報保護監査責任者を任命します。このほか、適宜、各部署の責任者、教育責任者、個人情報相談窓口責任者などを任命します。
※2 個人情報保護マネジメントシステム:個人情報保護のための体制、仕組みのことを言います。
(2)個人情報の特定・リスク分析
自社内で取扱っている個人情報を特定し、個人情報の管理台帳を作成します。漏れなく個人情報を特定すること、個人情報の利用目的目的、保管期間など管理台帳に記載すべき項目を漏れなくまとめることがポイントです。また、特定した個人情報のライフサイクルの各局面ごとにリスクを洗い出します。
(3)個人情報保護マネジメントシステムの構築
JISQ15001に従った内部規程(PMS文書)を整備します。JISQ15001では実施しなければならない事項が定められていますが、具体的にどのように実施するかについては定められていません。自社の実態に即したルールを定めることがポイントです。
(4)個人情報保護マネジメントシステムの運用
(3)で整備したPMS文書に従い、個人情報保護マネジメントシステムを運用します。具体的には、社内の個人情報保護教育、個人情報の施錠保管、入退室管理、サーバ・PCの情報セキュリティ、委託先の評価・契約、監査、代表者による見直しなどを実施します。
(5)申請書類の提出
個人情報保護マネジメントシステムの運用が一巡したところでプライバシーマーク付与申請を行います。所定の申請書類に必要事項を記載し、(3)で整備したPMS文書、教育記録、監査記録、代表者による見直し記録などを添付し、JIPDEC又は指定機関に提出します。
(6)文書審査
(5)で提出したPMS文書がJISQ15001に適合しているか審査され、審査結果が郵送されてきます。指摘を受けた事項については現地審査までに是正を行います。
(7)現地審査
プライバシーマークの審査員が来社し、現地審査が行われます。現地審査は、代表者のインタビュー、個人情報保護管理者などへのヒアリング、現場での実施状況の確認などが行われます。現地審査後、数日で審査結果が郵送されてきます。通常はいくつかの改善指摘がなされるため、指摘事項について改善を行い、改善報告書を審査員に送付します。
(8)認定
指摘事項に対する改善が認められればプライバシーマークが付与されます。