プライバシーマーク制度とはどんな制度か?

コンピューターとインターネットが発展した現代で、企業にとって「情報」は、「ヒト」「モノ」「カネ」に次ぐ、4つ目の経営資源として認知されてきました。その中でも、特に重要なものとして顧客や取引先の「個人情報」があります。

この「個人情報」は、企業がサービスを提供する上で有用な情報となる一方で、万が一外部に漏れた場合、顧客の不利益となるトラブルや事故を引き起こす可能性が高いため、十分な管理が必須となります。

企業や事業者が、「基準」に沿って「個人情報」を適切に取り扱っているか判断されると、「プライバシーマーク」の使用が認められます。これを「プライバシーマーク制度」といいます。情報の取り扱いに安心できる企業の証、プライバシーマーク制度について、もう少し詳しくご説明いたします。

 

プライバシーマーク制度を詳しく知ろう

まずは「プライバシーマーク制度」についてご説明します。

・プライバシーマーク制度(Pマーク制度)とは?
「プライバシーマーク制度」は、企業などの第三者が「個人情報」を「日本工業規格「JIS Q  15001 個人情報保護マネジメントシステム要求事項」に沿って適切に取り扱っているかを評価し、その認定の証として「プライバシーマーク(Pマーク)」の使用を認める制度のことです。このことからプライバシーマーク制度は別名「Pマーク制度」とも呼ばれています。「プライバシーマーク」の使用が許された企業は、マークを自社のホームページや名刺などに使用することができます。

・プライバシーマークのメリット
プライバシーマークを取得し、企業や事業者がプライバシーマークを使用するにあたり、どのようなメリットがあるでしょうか?

以下の点が挙げられます。

1)「プライバシーマーク」を自社のホームページやポスター、名刺などで使用することで、個人情報保護への取り組みを消費者が一目見て確認することができると同時に、消費者自身へ個人情報保護に関する意識向上が期待される。

2)「プライバシーマーク」を使用し、個人情報の適切な取り扱いを推進することで、消費者の個人情報保護意識の高まりに応える形となり、社会的信用を得るためのインセンティブを企業や事業者に与えることができる。

以上の点から、プライバシーマークは、事業者や企業にとって「個人情報保護に関して安心できる企業」であることを、消費者へアピールすることができます。

 

プライバシーマークの取得方法について

プライバシーマークはどのように取得するのでしょうか?
取得方法をまとめてみました。

【プライバシーマーク(Pマーク)取得方法】

<申請資格>
基本的にPマークは個人ではなく、以下のような法人単位で付与されます
・事業を営む法人
・その他団体
・又は個人

どんな事業者でも申請できるわけではなく、以下のような条件が必要です。

1)「個人情報保護マネジメントシステム要求事項(JIS Q 15001:2017)」に準拠した個人情報保護マネジメントシステム(PMS)を定めていること。

2)PMS(事業者の個人情報保護マネジメントシステム)に基づき、個人情報の適切な取り扱いが行われていること。

3)申請事業者の社会保険・労働保険に加入した正社員、または登記上の役員(監査役を除く)の従業者が2名以上いること。

PMS(事業者の個人情報保護マネジメントシステム)には、「個人情報保護管理者」と「個人情報保護監査責任者」の2名が最低必要になります。この理由から1人で自営しているフリーランスの方などは、プライバシーマークを取得できないことになります。

 

<申請前の準備>
申請する前に申請資格の基準を満たすため事前に準備が必要です。

1)社内で取得・利用していた個人情報の洗い出しや分析を行います

2)分析後、社内でPMS構築し、計画の作成(P)実施(D)点検・評価(C)、改善(A)のPDCAサイクルを用いて実施可能な体制を整え1回以上運用します

3)運用開始から数週間後ぐらいに、監査・点検を実施します

4)PMSの見直しをします

5)上記一連実施した記録が揃って、はじめて申請することができます

<必要書類の提出>
申請の準備が整ったら、プライバシーマーク付与適格性審査申請チェック表、プライバシーマーク付与適格性審査申請書、会社概要、個人情報を取扱う業務の概要、全ての事業所の所在地及び業務内容、個人情報保護体制、PMS文書(内部規定・様式)の一覧と文書一式、JISQ15001要求事項と対応表、教育実施サマリー、監査実施サマリー、事業者の代表者による見直し実施サマリー、登録事項証明書等、申請事業者の実在を証する公的書類、定款、それに準ずる規程類、会社パンプレット等、個人情報管理台帳、リスク分析結果の記録された見本のコピーを、一般財団法人日本経済社会推進協会(JIPDEC)か、Pマーク付与認定指定機関に提出します。

<現地調査>
提出した書類による審査をクリアすると、次は現地調査を実施します。個人情報保護がPMSどおりに運用されているか、個人情報保護管理者や、監査責任者などに、個人情報取扱いや個人情報に関する事故の有無確認などのヒアリングを行い、個人情報保護方針の周知状況の認識や、安全管理体制などについてチェックされます。

<プライバシーマーク付与の可否決定>
書類審査と現地調査の審議の結果、プライバシーマークの可否が決定されます。可否通知は郵送にて発送されます。付与が決まったら付与契約をします。可否通知に付与契約書が同封されているので、付与登録料を振込むと「プライバシーマーク登録証」と「プライバシーマーク電子データ」交付されます。

 

プライバシーマーク制度付与業者が「個人情報保護」のために取り組む事とは

プライバシーマーク制度付与業者は、自社で確立した「個人情報保護マネジメントシステム(PMS)」を用いて、安全な体制での個人情報保護を維持し続けなければなりません。PMSは、「計画Plan」「実施Do」「点検評価Check」「改善Act」からなる「PDCAサイクル」で実施します。

・PMSを推進するための社内体制を整えて作業計画を立てます。
・個人情報の特定、リスク分析や分析、規程などの作成と運用、従業員の教育などを実施します。
・運用状況を定期的に点検・評価します。
・評価を受け、管理者や代表者がPMSを見直し、改善します。

プライバシーマークは「個人情報」に関するトラブルが100%起きない、という事を保証する制度ではありません。プライバシーマーク付与業者は、PDCAサイクルを繰り返し、トラブルが発生した時は、再演防止策をとりながら、その都度見直しと改善を行うなどをして、個人情報の保護レベルを上げていく姿勢と努力が求められます。このため、プライバシーマークの使用機関は2年間と決められており、更新するには新たな申請と再審査が行われて付与適格の可否を問われます。

さらに詳しく知りたい方は、セミナーを受講してみたらいかがでしょうか。経験と知識が豊富な講師陣が、あなたの疑問をすべて解消してくれることでしょう。

>>>最新のプライバシーマーク制度など、リスクマネジメントに関するセミナー情報はこちらから

 

【記事ソース】
一般財団法人 日本情報経済社会推進協会
「プライバシーマーク制度」
https://privacymark.jp/system/about/outline_and_purpose.html
「プライバシーマーク制度講座」
https://privacymark.jp/wakaru/kouza/index.html

税理士ドットコム
「プライバシーマークの取得方法・取得費用・その他認証制度・取得メリットとは?」
https://www.zeiri4.com/c_4/h_232/