個人情報保護に取り組んでいる企業の目印：プライバシーマークとは？

インターネットやスマホアプリで各種サービスを利用する際に、メールアドレスや電話番号など個人情報を入力することが多くなりましたよね。インターネットでの通販や資料請求では氏名や住所を記載する必要がありますが、皆さん少し怖くありませんか？

もし入力した個人情報が不正利用された場合、知らない会社から宝くじの当選を通知する振り込め詐欺メールが届いたり、一緒に住んでいるおばあちゃんへオレオレ詐欺の電話がかかってきたりすることが考えられます。

個人情報やプライバシーの取り扱いについては、情報を受け取る各事業者に責任がありますが、各事業者がきちんと管理をしているのかを私たち消費者が判断するのは難しいですよね。

そこで、今回は「個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定する「プライバシーマーク」を紹介します。

プライバシーマークとは？

プライバシーマークについての財団法人日本情報処理開発協会（JIPDEC）による正式な説明は下記です。

プライバシーマーク制度は、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。（JIPDEC公式ページ）

つまり、プライバシーマークを表示している事業者は、個人情報の取り扱いについて日本工業規格「JIS Q 15001 個人情報保護マネジメントシステム—要求事項」に適合した運用をしているということについて第三者機関から監査を受け、それに合格しているということです。

平成27年8月21日現在、プライバシーマーク付与事業者は14,000社を超えています。

1998年から運用が開始されたプライバシーマークは、当初はガイドラインに基づいたマニュアルを作成している事業者であれば付与されていました。それが個人情報保護法が本格的に整備されたのち、2006年に日本工業規格「JIS Q 15001 個人情報保護マネジメントシステム—要求事項」が改正され、あわせてプライバシーマークの付与基準、運用方法は大きく変わることになりました。

改正された内容としては、他のマネジメントシステム規格との整合性の確保を図ったことや、個人情報の第三者提供や従業者および委託先の監督などの概念を追加したことなどがあります。
これにともない、事業者がプライバシーマークを掲載するためには、PDCA（plan-do-check-act　計画−実施−評価−改善）というマネジメントシステムを構築し、運用することが求められるようになりました。

プライバシーマークの使用許諾期間は2年間であるため、使用している事業者は継続的な個人情報の適切な取り扱いを証明することができます。

つまり、プライバシーマークとは、個人情報の取り扱いについて一定の基準を満たしている事業者であることを証明するものです。みなさんは、個人情報を記入するさいにプライバシーマークがある事業者であることを確認することで、情報漏えいから生じるリスクを軽減することができます。

では、プライバシーマークを取得するために事業者が実施している対策について、詳しく見ていきましょう。

 

プライバシーマークの取得条件

申請フロー全体

プライバシーマークを取得するために各事業者が行う申請フローを見てみましょう。

1. JIS Q 15001に準拠した個人情報保護マネジメントシステムを構築および運用
2. (財)日本情報処理開発協会(JIPDEC)または指定機関へ申請
3. 文書審査と現地審査にてJIS Q 15001への適合を評価され、無事プライバシーマークを付与される。

ここからは、それぞれの内容をご説明します。

 

1. 「JIS Q 15001 個人情報保護マネジメントシステム—要求事項」に準拠した個人情報保護マネジメントシステムを構築および運用

プライバシーマーク制度は、1年に1回以上の教育と監査を求めています。
そのため、事業者は毎年下記PDCA（plan-do-check-act　計画−実施−評価−改善）マネジメントシステムのサイクルをまわす必要があります。

各フェーズにおいて、実際に事業者が取り組む対策の内容を説明します。

これにより、あなたが個人情報を提供したあとに事業者が安全に取り扱うために実施している努力を具体的にご理解いただけると思います。

1-1 Plan:計画

このフェーズでは、現状の取り組みやリスクに基づき実施すると決めた管理策を記載する「内部規定の策定」が含まれています。
そのほか、各事業者の業務や取り扱い情報の特性を考慮し、個人情報保護マネジメントシステムを実行するために、合理的な内容になっていることが求められます。
まとめると、これまでの反省と最新のリスク状況を踏まえて何を実施するかを決定するのが「計画」であり、システムの導入および定着の是非を左右する重要なフェーズです。

1-2 Do:実施および運用

個人情報保護方針と内部規定に基づき、各計画書に従って、個人情報保護マネジメントシステムの実施および運用に取り組むフェーズです。
個人情報保護方針とは、事業者ごとに、事業の内容などを考慮した「個人情報」の適切な取得・利用・提供に関することなど、個人情報取り扱いに対する姿勢を明記したものです。
具体的な実施に関わるフェーズであり、消費者保護の観点から法的義務以上の対応を求められています。

1-3 Check:点検

個人情報保護方針と内部規定、計画に基づき、業務が適法かつ適正に行われているかを点検するとともに監査を行うため、運用状況の確認、監査員によるチェック（内部監査）の2つの要求事項を満たす必要があります。

1-4 Action:見直し

運用の現状について代表者が指示を出すフェーズです。プライバシーマークは1年に一回見直すものになっており、運用状況や前年度の見直しの結果を代表者が確認し改善指示をだします。
個人情報保護方針や内部規定など、これまでの運用で明文で定めた文書も変更することも可能であるため、システムの抜本的な改善ができます。

 

2. (財)日本情報処理開発協会(JIPDEC)または指定機関へ申請

プライバシーマーク付与適格性審査を受けるため、申請書類を審査機関または付与機関（一般財団法人日本情報経済社会推進協会）の受付窓口に提出する必要があります。
申請に当たっては、審査結果の可否にかかわらず、申請内容に関する審査等の経費として申請料がかかります。

申請料などプライバシーマークを利用するまでにかかる費用は、登記された資本金の額又は出資の総額、従業者数、業種によって異なります。
たとえば、サービス業で資本金5千万円超かつ従業者数101人以上の事業者であれば大規模とカテゴライズされ、新規でプライバシーマークを使用するためには合計120万円以上の費用がかかります。

 

3. 文書審査と現地審査にてJIS Q 15001への適合を評価され、無事プライバシーマークを付与される。

文書審査では、内部規定が規格であるJIS Q15001に適合しているかの確認と、すべての従業員が内部規定を守り、個人情報を保護することができるような内容になっているかの確認が行われます。

現地審査では、文書審査での疑義の確認とマネジメント体制の保護の確認が行われます。

また、2年に一度の更新の際にも、全項目が審査対象となるため、継続的な見直しが求められています。法令、国が定める指針や維持に関する規定、個人情報に関するリスクの認識、分析及び対策の手順に関する規定などの評価を受けます。そのため、国として取り組んでいる最新の指針や規範と足並みをそろえた改善が求められています。

■ 文書審査 内部規定のJIS Q 15001への適合状況

内部規定が「JIS Q 15001 個人情報保護マネジメントシステム—要求事項」に正しく適合しているかどうかの確認を受けます。

■ 文書審査 個人情報を特定する手順

すべての従業者がJIS Q 15001に適合した内部規程を遵守し、個人情報の保護を実現するための具体的な手順が記載されているかの確認を受けます。

■ 現地審査 疑義の確認とマネジメント体制の保護の確認

文書上の審査において生じた疑義の確認、および個人情報保護マネジメントシステムの通りに体制が整備され、運用しているか等について確認するために行います。

代表者へのインタビュー、運用状況の確認(申請担当者、個人情報保護管理者、監査責任者等へのヒアリング)、現場での実施状況の確認(物理的および技術的安全措置を確認)を行います。

 

プライバシーマークによって許可されること

これだけの審査を受けて承認された事業者だけが、プライバシーマークをWebサイトや名刺などに掲載するを許可されます。

それだけ？と思われるかもしれませんが、そのプライバシーマークをみなさんに提示するために上記の申請フローを実施し、毎年マネジメントサイクルをまわしているのです。

もちろんプライバシーマークを掲載することで、付与事業者はプライバシーマークを通じて「個人情報」を適切に取り扱っていることを消費者のみなさんにお伝えしていくことができ、ビジネスパートナーとしても信用度を向上させることができます。

また、挨拶の際に交換する名刺や外部監査の際に、プライバシーマークおよび会社としての個人情報取り扱いの取り組みを認知する機会が生じ、従業員の個人情報に対する意識が高まります。

ただ、このプライバシーマークは、それを取得するために事業者が上記のような取り組みをしていることを、わたしたち消費者が理解することでこそ効果のある施策だとも言えます。

プライバシーマーク自体は小さなマークです。しかしそのマークの意味を知っている方がいるからこそ、情報漏えいによる被害を防ごうと努力をされている事業者と危機意識を持たれている消費者のみなさまがつながることができるのです。

 

おわりに

便利なサービスが増えていることと並行して、各種サービス提供事業者へ個人情報を開示する機会が増えています。
サービスを利用する際には、事業者が個人情報を適正に管理していることを示す「プライバシーマーク」をチェックしてみることも、安全に対するひとつの目安になるでしょう。

ただし、プライバシーマークを取得していても大規模な個人情報漏えいを起こしてしまった企業はあります。あくまで個人情報保護に対する取り組みを示す目安として捉え、利用者の立場からも情報漏えいによる被害者を減らす社会を作っていきましょう。