情報セキュリティマネジメント試験 用語辞典
- 分野:
- 情報セキュリティ対策 » 人的セキュリティ対策
(シラバス範囲外) - 重要度:
(Wikipedia プライバシーマークより)
プライバシーマークとは、個人情報保護に関して一定の要件を満たした事業者(基本的には法人単位。ただし、医療関連については病院ごとなど例外あり)に対し、一般財団法人日本情報経済社会推進協会 (JIPDEC) により使用を認められる登録商標(サービスマーク)の事である。Pマークと略して呼ばれることもある。
サービス概要
1998年4月より付与が開始された。申請を行い認定されれば、このマークを自社のパンフレットやウェブサイトなど公の場で使用することができ、個人情報の安全な取り扱いを社会に対してアピールできるというメリットがある。また、官公庁や自治体などの入札参加条件にプライバシーマークの認定を条件としているところも多くなっている。ただし、Pマークを取得しているからといって個人情報の安全な取り扱いが行われているとは限らないので、注意が必要である。また、一般財団法人日本情報経済社会推進協会 では、Pマークの付与は、認定個人情報保護団体の対象事業者を意味するものではないとしている。そして、基本的にPマークを付与された事業者に対する『個人情報の保護に関する法律第42条』に基づく苦情を受け付けていない。したがって、プライバシーマークは法的根拠のない資格商法の一種となる。認定個人情報保護団体のJIPDECが、対象事業者以外の者を独自に認定することで、一般人が認定個人情報保護団体の対象事業者でない事業者に過大な評価をしてしまう怖れがあり、一部の自治体などが入札参加条件にプライバシーマークの認定を条件としていることは、誤解が発現したものであるといえる。(本来なら、認定個人情報保護団体の対象事業者を条件としなければ意味をなさない)
2014年(平成26年)9月16日現在、13,761社の事業者が『プライバシーマーク』を取得している。
取得方法
Pマーク取得にあたっては、日本工業規格(JIS)のJIS Q 15001(個人情報保護マネジメントシステム ― 要求事項)に適合した個人情報保護体制を構築・運用していることが必要である。この規格は、個人情報取得の際には本人の同意を得ること、個人情報を利用目的の範囲内で取り扱うこと、個人情報を適切に管理すること、本人から自己の個人情報を開示・訂正の請求に応じる仕組みを有することなど、個人情報保護体制の計画→実施→検査(監査)→見直し・改善(いわゆるPDCA)のそれぞれのフェーズごとに詳細な要求事項を定めている。これらは2005年4月より全面施行された個人情報保護法に定められている個人情報取扱事業者の義務よりも厳格である。
前述の体制の整備後、所定の書類と申請料を添え、日本情報経済社会推進協会あるいは後述の指定審査機関へ申請する。
Pマーク申請後は、書類審査の後に事業所への立ち入りを伴う現地審査が行われ、JIS Q 15001への適合性が審査される。その結果、なんらかの改善指摘を受けることが普通である。これに対して事業者が改善の報告を行い、審査員によって改善の確認がされ、審査会の審議を経て、審査合格となる。その後、審査合格事業者とJIPDECとの間でプライバシーマーク(商標権)の使用を許諾する契約を締結する。同時に事業者名が公式サイトにも記載される。
Pマークの使用期間は2年間(有料)であり、その後さらに使用を希望する場合は更新審査を受け合格する必要がある。
取得支援会社
プライバシーマークの取得には膨大な時間、書類作成と社内研修の実施が義務付けられているため、民間企業の支援コンサルティングを受け取得するケースが一般的である。
各社サービス価格には差がある。
主なコンサルティングサービス会社
・株式会社ユーピーエフ(UPFグループ)
・株式会社帝国データバンクネットコミュニケーションズ(帝国データバンクグループ)
・株式会社セコムトラストシステム(セコムグループ)
・株式会社ISO総研運用実態
Pマーク取得事業者が、個人情報保護法等およびJIS Q 15001に違反する個人情報の取扱いを組織的に行った場合は、Pマークの使用を取り消し、当該違反事業者名を2年間、JIPDECのホームページ上に公表するといった制裁が行われる(過去に公表された例がある)。
一方、法人の吸収、合併、清算など変更の発生した場合や、何らかの事情により更新を見送り、プライバシーマークの使用を取りやめる事業者もある。
Pマーク取得のメリットと問題点
Pマークを取得することで、個人情報保護法第37条1項1号の対象事業者となるという一般的誤解がある。そのため、マークを取得する事業者は、誤解に基づいた安心感・信頼感を得られるメリットがある。なお、認定個人情報保護団体は、個人情報保護法第41条1項により、「当該認定個人情報保護団体の構成員である個人情報取扱事業者又は認定業務の対象となることについて同意を得た個人情報取扱事業者を対象事業者としなければならない」とされており、非対象事業者に対して認定業務を行うことは許されていない。したがって、Pマーク取得が、対象事業者認定と一致しない限り、プライバシーマークの付与は違法性を帯びることになる。
取得事業者における情報漏洩問題
2006年におけるプライバシーマーク取得事業者における個人情報の取り扱いにおける事故として、JIPDEC及び他の指定機関が受け付けた報告は、439社、708件に及んだ。内JIPDECが受け付けた事故報告は651件有り、その97%は情報漏洩事故である。漏洩事故の内訳は、個人情報を含む書簡・FAX、メールの誤配による情報漏洩が405件と6割以上を占めている。また、Antinnyなどファイル交換ソフトを使ったことによる漏洩は、28件(4%)であった。。なお、大日本印刷は当時JIPDECの賛助会員の一員であった(2010年11月現在も継続中)。
三菱電機インフォメーションシステムズは2000年から2010年7月まで図書館貸し出しシステムに宮崎県えびの市の図書館利用者2761名を含む約3000名の個人情報を添付した状態でパッケージとして76カ所の図書館に納品し、さらにAnonymous FTPサーバをVPNなどを用いず不用意に設定したため誰でもアクセスできる状態になっていた。しかし、その直後に行われたJISA 平成22年度第7回審査会でペナルティを受けることなくプライバシーマークの認定が更新された。JISAは2011年1月24日付で、同社のプライバシーマーク付与認定を一時停止(2か月)にすると発表した。。
指定審査機関
一般財団法人日本情報経済社会推進協会によって指定された民間事業者団体。申請の受付・審査と付与可否の認定等を行っている。
申請する事業者が下記団体に加入しているか、本社の登記上の所在地によっては、それぞれの団体に申請する。
- 一般社団法人情報サービス産業協会
- 一般社団法人日本マーケティング・リサーチ協会
- 社団法人全国学習塾協会
- 社団法人全日本冠婚葬祭互助協会
- 社団法人日本グラフィックサービス工業会
- 一般社団法人日本情報システム・ユーザー協会
- 一般財団法人日本データ通信協会
- 一般社団法人コンピュータソフトウェア協会
- 社団法人日本印刷産業連合会
- 財団法人放送セキュリティセンター
- 一般社団法人モバイル・コンテンツ・フォーラム
- 上記団体の会員企業の場合、加入先団体に申請する。
- 一般財団法人医療情報システム開発センター(医療・福祉関連業種の申請先)
- 一般社団法人北海道IT推進協会(北海道に本社のある会社の申請先)
- 特定非営利活動法人みちのく情報セキュリティ推進機構(東北地方に本社のある会社の申請先)
- 一般社団法人中部産業連盟(愛知県、岐阜県、三重県、富山県、石川県に本社のある会社の申請先)
- 一般財団法人関西情報センター(大阪府、京都府、福井県、滋賀県、兵庫県、奈良県、和歌山県に本社のある会社の申請先)
- 財団法人くまもとテクノ産業財団(九州・沖縄地方に本社のある会社の申請先)
- 特定非営利活動法人中四国マネジメントシステム推進機構(中国・四国地方に本社のある会社の申請先)
このページのWikipediaよりの記事は、ウィキペディアの「プライバシーマーク」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。