処理開発協会(JIPDEC)によって1998年から設置された「個人情報を適
切に取り扱っている組織を一定の基準で認定し、プライバシーマークの使用を許諾
する制度」です。
個人情報の適切な取り扱いの仕組みを会社で構築し、その構築された仕組みが認定
基準(JISQ15001要求事項)を満たしているかを審査して、プライバシー
マーク 認証の可否を判定することになります。
審査基準は厳しく、会社全体として個人情報の適切な取り扱いの仕組みをルール化
して運用しなければなりません。
そのため、プライバシーマークの使用が認定されているということは、個人情報の
取り扱いに関しての厳しい社内規定があり、それを遵守しているということの証と
なるのです。
プライバシーマークを取得している企業は、安心して個人情報の提供ができるとい
うイメージが定着しつつあります。
■ プライバシーマーク取得が入札参加資格に!
官公庁入札においては、個人情報保護の観点から『プライバシーマーク取得』が入
札条件となっていることが多くなってきています。
競合他社との差別化を図るには、プライバシーマーク取得が必須となってきている
のです。
■ プライバシーマーク 認定事業者数
12,953社(平成25年3月12日現在)
個人情報保護法の公布を受けた2003年度は認定事業者数が前年を大きく上
回り、その後も増え続けています。
さらに、2005年4月の個人情報保護法の全面施行により申請数が急増して
おり、認定事業者数は現在13,000社程となりました。
プライバシーマーク取得・更新のポイント
■ PDCAサイクルP=PLAN :計画、個人情報保護方針の策定
規定・運用文書の決定
D=Do :試行、運用
運用規定に従い実行
C=Check :運用状況の監査
不適合事項の改善
A=Act :是正
事業者の代表者による規定の見直し
■ PLAN
3.2 個人情報保護方針
3.3 計画
3.3.1 個人情報の特定
3.3.2 法令、国が定める指針その他の規範
3.3.3. リスクなどの認識、分析及び対策
3.3.4 資源、役割、責任及び権限
3.3.5 内部規程
3.3.6 計画書
3.3.7 緊急事態への準備
■ Do
3.4 実施及び運用
3.4.1 運用手順
3.4.2 取得、利用及び提供に関する原則
3.4.2.1 利用目的の特定
3.4.2.2 適正な取得
3.4.2.3 特定の機微な個人情報の取得、利用及び提供の制限
3.4.2.4 本人から直接書面によって取得する場合の措置
3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場
合の措置
3.4.2.6 利用に関する措置
3.4.2.7 本人にアクセスする場合の措置
3.4.2.8 提供に関する措置
3.4.3 適正管理
3.4.3.1 正確性の確保
3.4.3.2 安全管理措置
3.4.3.3 従業員の監督
3.4.3.4 委託先の監督
3.4.4 個人情報に関する本人の権利
3.4.4.1 個人情報に関する権利
3.4.4.2 開示等の求めに応じる手続
3.4.4.3 開示対象個人情報に関する事項の周知など
3.4.4.4 開示対象個人情報の利用目的の通知
3.4.4.5 開示対象個人情報の開示
3.4.4.6 開示対象個人情報の訂正、追加又は削除
3.4.4.7 開示対象個人情報の利用又は提供の拒否権
3.4.5 教育
3.5 個人情報保護マネジメントシステム文書
3.5.1 文書の範囲
3.5.2 文書管理
3.5.3 記録の管理
3.6 苦情及び相談への対応
■ Check
3.7 点検
3.7.1 運用の確認
3.7.2 監査
3.8 是正処置及び予防処置
■ Act
3.9 事業者の代表者による見直し
PDCAサイクルは繰り返されます
■ PMSシステム(個人情報保護マネジメントシステム)
【定義】
会社の事業で利用する個人情報について、その有用性に配慮しつつ、個人の権
利利益を保護するための方針、体制、計画、実施、点検及び見直しを含む管理
の仕組み。
【体制】
個人情報保護管理責任者を中心に、監査責任者、教育責任者、システム管理者
問い合わせ窓口責任者、全従業員が関係します。
【注意】
個人情報保護マネジメントシステム(PMS)に悪意を持って故意に違反した
場合、懲戒解雇や損害賠償に応じなければならないこともあります。
取得・更新の作業手順
■ 調査自社にある個人情報の洗い出しを行います。
具体的には、あらゆる個人情報を洗い出し個人情報一覧表を作成します。
個人情報一覧表は、個人情報の利用目的、媒体、入手経路、利用部署、保管場
所、保管期間、廃棄方法等をまとめます。
■ 分析
個人情報一覧表で記載した個人情報について、その個人情報が自社に入ってか
ら出て行くまでを明らかにして、その局面(入手、利用、保管など)ごとに、
想定されるリスクを考えます。
そして、そのリスクに対して対策を検討しなければなりません。
これらを「リスク分析管理表」といった一覧表にする必要があります。
■ 規定
プライバシーマークは社内規定を文書化しなくてはなりません。
通常は雛形を利用して、自社の状況に合わせ、編集していきます。
もし自社の状況にあっていない文書を作ってしまった場合は、現地審査の時に
整合性を指摘され「作り直し」を指示されます。
この文書化の作業はプライバシーマークの活動において一番大変な部分です。
文書化は、記載すべき項目は決まっています。
ただし、どのような内容で、どのくらいの種類を作成すべきといったことは定
められていません。
会社の規模や事業に応じて実効性のある内容にすることが必要です。
■ 教育
個人情報保護のポイントは従業者の個人情報の取扱い方法です。
いくら高度なシステムを規定しても運用が不適切であれば意味がありません。
そこでプライバシーマークを取得する企業は申請前に1回、取得後に最低1年
に1回の教育を実施しなければなりません。
教育担当者が全従業員への教育を実施します。
教育後、効果の確認を行うとともに教育記録を残します。
■ 運用
従業員は、文書化した社内規定に沿って、個人情報の取扱いや安全管理をしな
ければなりません。
個人情報を入手する時はこうしなければならない、保管する時はこうしなけれ
ばならないというように、決めた社内規定を実行するということです。
■ 監査
監査責任者は運用開始後、運用の状況について点検・監査を行います。
監査の結果を監査報告書として社長に報告します。
監査の結果、社内規定が守られていない場合は是正処置を行います。
■ 補正
個人情報の適切な保護は、組織全体の取り組みです。
したがって代表者(社長)によって定期的な見直しが必要とされています。
具体的には、内部監査の後に、代表者(社長)が参加した見直し会議を開催し
て、その記録をとります。
認証取得スケジュール
通常、取り組み開始から取得まで約8ヶ月ぐらい必要となります。ただし、お急ぎのクライアント様には柔軟に対応できる知識と技能は持っております。
(1)取り組み開始→申請 約4ヶ月
※お客様の作業の進捗状況により短縮は可能です
(2)申請→認定 約4ヶ月
書面審査・実地審査とも、通常は多少なりの指摘事項が入るのが実情となっております
