プライバシーマーク制度の概要

プライバシーマークの思想

プライバシーマーク制度とは、ひとことでいってしまうと、「個人情報を適切に扱っている企業を認定」するものです。

個人情報保護法と密接なつながりがあります。同法は適宜改正が行われていますが、それに追従する形で認定制度自体もアップデートされています。ただし、歴史的には個人情報保護法の施行よりも、プライバシーマーク制度の開始の法が時期的には早いです。

この認定制度が作られた背景としては、インターネットを中心としたIT技術の急速な発展が挙げられます。ネット上で個人情報がやりとりされるようになり、漏洩事故などが発生し問題になりました。そういった社会課題に対処するために、当時の通商産業省の指導により発足しています。平成10年4月のことです。

認定について

プライバシーマーク制度は日本工業規格（JIS）JIS Q 15000として規定されています。認定を行うのはJIPDEC（一般財団法人日本情報経済社会推進協会）になります。

認定を受けるためには、対象となる組織は個人情報保護マネジメントシステム（PMS）を組織内で運用している必要があります。この管理は、PDCAサイクルの考え方により常に改善活動を継続していくことが求められます。きちんと計画を建てて実行し、その後はきちんとモニタリングして、是正するという一連のサイクルをくるくると回していきます。これがJISで規定された内容に適合しているかどうか？が審査では問われます。

実際にこのマネジメントシステムが機能しているかどうかを審査するのは、JIPDECによって指定された民間の事業者団体です。地域系の審査機関や、会員に対して審査する機関、特定の業種を審査する機関などの種類があります。

プライバシーマークの認定を受けようという組織は、こういった機関を選ぶことができますが、特定の業種の場合は選択の余地がない場合があります。

また、例えば地域系の審査機関から、会員制の審査機関に更新のタイミングで変更するといったことも柔軟に行うことができます。

申請から認定までの流れ

実際にプライバシーマークを申請する場合は、下記のような流れで行います。

①申請書の提出

書類を審査機関に提出して、審査を依頼します。

②受取

書類の記載内容が確認されます。不備があれば差し戻しなどを行い、修正します。

③形式審査

申請者の事業内容や、規模を審査します。この点の違いにより料金が変わることがその理由です。

④文書審査

PMSに関する文書類が、JISの規格にマッチしているかどうかが机上で確認されます。提出書類を基に行われます。

⑤現地審査

実際にPMSが正しく運用されているかどうかを、現地で確認します。改善が必要だと判断された事項（指摘事項）は確認が必要です。

⑥改善

指摘事項を改善します。これが認めれると、プライバシーマークが付与されます。

その他の事項

プライバシーマークの有効期間は2年間です。この期間で随時更新を行っていくことになります。更新の手続きも前述の新規での申請方法とほぼ同様です。

個人情報保護法とプライバシーマークは密接なつながりがありますから、法の改定と供に認定制度も変わります。ただ、手続きが面倒になる方向に変化しているのでなく、むしろ制度自体をスリム化して、無駄を省くようになっています。組織の負担を考慮した結果といえるでしょう。

このように、プライバシーマークでは比較的組織の負担を少なくし、個人情報に配慮した組織であることをアピールできる制度です。ぜひ認定取得に向けて取り組んでみてください。 入札時に加点されたり、取得のメリットを得ることができます。

次回以降、プライバシーマークの詳細に踏み込んでいきたいと思います。