「プライバシーマークとは?」
初めてプライバシーマークを取得したいと考えたあなたがまず思う疑問ではないか?
プライバシーマークとは何か?と原点を知ることは、プライバシーマーク取得時においても非常に重要なポイントとなる。
これを理解せずに、プライバシーマークに取り掛かかってしまうと、誤った認識のままにムリ・ムダな作業を繰り返すことになりかねないので、初めてプライバシーマークの取得に取り組む方は是非この記事を読んでいただきたい。
プライバシーマークとは
プライバシーマーク制度は、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。
一般財団法人日本情報経済社会推進協会(JIPDEC)
プライバシーマークとは、プライバシーマーク制度に基づき、使用を認められた事業者が利用できる個人情報保護の認証規格マークのことである。
簡単に言えば、プライバシーマークとは適切に個人情報を取り扱う企業を証明するものである。
プライバシーマークを取ることにより、個人情報保護の認証規格マークの使用を認められた事業者であることのアピールが出来る。
プライバシーマークのポイント
プライバシーマーク制度を理解するためのポイントは以下の3つなのでしっかり理解しておこう。
1.JIS Q 15001個人情報保護マネジメントシステム―要求事項
2.個人情報保護マネジメントシステム(PMS)
3.プライバシーマークの利用を申請し、審査機関の審査を受ける
1.JIS Q 15001個人情報保護マネジメントシステム―要求事項
「JIS Q 15001個人情報保護マネジメントシステム―要求事項」とは、事業者が業務上取り扱う個人情報を安全で適切に管理するための日本工業規格の一つである。
簡単に言えば、JIS Q 15001とは、事業者が個人情報を適切に取り扱うために国が定めた基準と考えてもらいたい。
プライバシーマークを取得するためには、このJIS Q 15001を理解し、規格に沿った個人情報の適切な保護措置を講ずる必要がある。
JIS Q 15001は改訂が行われており「JIS Q 15001:1999」が最初に制定され、その後「JIS Q 15001:2006」「JIS Q 15001:2017」に改訂された。
「JIS Q 15001:2017」が最新であることを押さえておこう。
「JIS Q 15001:2017」は、附属書SLを参考に規格書及び付属書A、B、C、Dで作成されており、旧の「JIS Q 15001:2006」と構成内容及び用語が大きく違っている。
以下に参考として、新旧比較表を載せるが、今から取得する皆様には関係がないので割愛してもらってもかまわない。
また、旧規格で取得済みで、次回から新規格である2017年版で更新する方も気にしなくても良い。
旧規格2006年版の内容は、新規格2017年版では付属書Aに記載されており、新規格2017年版の審査基準は付属書Aである。
つまり、実質的には2006年版で新規取得や更新をしていれば、新規格2017年版の対応は難しくない。
参考:JIS Q 15001 新旧比較表
| 目次対応表 | |
|---|---|
| 新規格(JISQl5001:2017) | 旧規格(JISQ15001:2006) |
| 1適用範囲 | 1適用範囲 |
| 2引用規格 | - |
| 3用語及び定義 | 2用語及び定義 |
| 4組織の状況 A3.1.1一般 | - |
| 4.1組織及びその状況の理解 A3.3.2法令,国が定める指針その他の規範 | 3.3.2法令,国が定める指針その他の規範 |
| 4.2利害関係者のニーズ及び期待の理解 | - |
| 4.3個人情報保護マネジメントシステムの適用範囲の決定 A3.3.1個人情報の特定 | 3.3.1個人情報の特定 |
| 4.4個人情報保護マネジメントシステム | 3要求事項 3.1一般要求事項 |
| 5リーダーシップ | - |
| 5.1リーダーシップ及びコミットメント | 3.3.4資源,役割,責任及び権限 |
| 5.2方針 A3.2個人情報保護方針 | 3.2個人情報保護方針 |
| 5.2.1内部向け個人情報保護方針 A3.2.1内部向け個人情報保護方針 |
|
| 5.2.2外部向け個人情報保護方針 A3.2.2外部向け個人情報保護方針 |
|
| 5.3組織の役割,責任及び権限 A3.3.4資源,役割,責任及び権限 | 3.3.4資源,役割,責任及び権限 |
| 6計画 | 3.3計画 |
| 6.1リスク及び機会に対処する活動 | - |
| A3.3.5内部規程 | 3.3.5内部規程 |
| 6.1.1一般 | - |
| 6.1.2個人情報保護リスクアセスメント A3.3.3リスクアセスメント及びリスク対策 | 3.3.3リスクなどの認識,分析及び対策 |
| 6.1.3個人情報保護リスク対応 A3.3.3リスクアセスメント及びリスク対策 |
|
| 6.2個人情報保護目的及びそれを達成するための計画策定 A3.3.6計画策定 | 3.3.6計画書 |
| 7支援 | - |
| 7.1資源 A3.3.4資源,役割,責任及び権限 | 3.3.4資源,役割,責任及び権限 |
| 7.2力量 A3.3.4資源,役割,責任及び権限 |
|
| 7.3認識 A3.4.5認識 | 3.4.5教育 |
| 7.4コミュニケーション A3.3.7緊急事態への準備 | 3.3.7緊急事態への準備 |
| 7.5文書化した情報 7.5.1一般 A3.5文書化した情報 | 3.5個人情報保護マネジメントシステム文書 3.5.1文書の範囲 |
| 7.5.2作成及び更新 7.5.3文書化した情報の管理 A3.5.1文書化した情報の範囲 A3.5.2文書化した情報(記録を除く。)の管理 A3.5.3文書化した情報のうち記録の管理 | 3.5.2文書管理 3.5.3記録の管理 |
| 8運用 A3.4実施及び運用 | 3.4実施及び運用 |
| 8.1運用の計画及び管理 | 3.4.1運用手順 |
| A3.4.1運用手順 | - |
| A3.4.2取得,利用及び提供に関する原則 | 3.4.2取得,利用及び提供に関する原則 |
| A3.4.2.1利用目的の特定 | 3.4.2.1利用目的の特定 |
| 8.2個人情報保護リスクアセスメント | 3.4実施及び運用 |
| 8.3個人情報保護リスク対応 | |
| A3.4.2.2適正な取得 | 3.4.2.2適正な取得 |
| A3.4.2.3要配慮個人情報 | 3.4.2.3特定の機微な個人情報の取得,利用及び提供の制限 |
| A3.4.2.4個人情報を取得した場合の措置 | 3.4.2.5個人情報を3.4.2.4以外の方法によって取得した場合の措置 |
| A3.4.2.5A3.4.2.4のうち本人から直接書面によって取得する場合の措置 | 3.4.2.4本人から直接書面によって取得する場合の措置 |
| A3.4.2.6利用に関する措置 | 3.4.2.6利用に関する措置 |
| A3.4.2.7本人に連絡又は接触する場合の措置 | 3.4.2.7本人にアクセスする場合の措置 |
| A3.4.2.8個人データの提供に関する措置 | 3.4.2.8提供に関する措置 |
| A3.4.2.8.1外国にある第三者への提供の制限 | - |
| A3.4.2.8.2第三者提供に係る記録の作成など | - |
| A3.4.2.8.3第三者提供を受ける際の確認など | - |
| A3.4.2.9匿名加工情報 | - |
| A3.4.3適正管理 | 3.4.3適正管理 |
| A3.4.3.1正確性の確保 | 3.4.3.1正確性の確保 |
| A3.4.3.2安全管理措置 | 3.4.3.2安全管理措置 |
| A3.4.3.3従業者の監督 | 3.4.3.3従業者の監督 |
| A3.4.3.4委託先の監督 | 3.4.3.4委託先の監督 |
| A3.4.4個人情報に関する本人の権利 | 3.4.4個人情報に関する本人の権利 |
| A3.4.4.1個人情報に関する権利 | 3.4.4.1個人情報に関する権利 |
| A3.4.4.2開示等の請求等に応じる手続 | 3.4.4.2開示等の求めに応じる手続 |
| A3.4.4.3保有個人データに関する事項の周知など | 3.4.4.3開示対象個人情報に関する事項の周知など |
| A3.4.4.4保有個人データの利用目的の通知 | 3.4.4.4開示対象個人情報の利用目的の通知 |
| A3.4.4.5保有個人データの開示 | 3.4.4.5開示対象個人情報の開示 |
| A3.4.4.6保有個人データの訂正,追加又は削除 | 3.4.4.6開示対象個人情報の訂正,追加又は削除 |
| A3.4.4.7保有個人データの利用又は提供の拒否権 | 3.4.4.7開示対象個人情報の利用又は提供の拒否権 |
| A3.6苦情及び相談への対応 | 3.6苦情及び相談への対応 |
| 9パフォーマンス評価 A3.7パフォーマンス評価 | 3.7点検 |
| 9.1監視,測定,分析及び評価 A3.7.1運用の確認 | 3.7.1運用の確認 |
| 9.2内部監査 A3.7.2内部監査 | 3.7.2監査 |
| 9.3マネジメントレビュー A3.7.3マネジメントレビュー | 3.9事業者の代表者による見直し |
| 10改善 10.1不適合及び是正処置 A3.8是正処置 | 3.8是正処置及び予防処置 |
| 10.2継続的改善 | 3.1一般要求事項 |
| 用語対応表 | |
|---|---|
| 新規格(JISQl5001:2017) | 旧規格(JISQ15001:2006) |
| 組織 | 事業者 |
| トップマネジメント | 代表者,事業者の代表者 |
| 個人情報保護リスク | リスク |
| 個人情報保護リスクアセスメント | リスクの認識,分析 |
| 個人情報保護リスク対応 | (リスクの)対策 |
| 残留リスク | 残存リスク(規格本文ではなく解説だけに記載) |
| 認識,教育など | 教育 |
| 文書化した情報 | 個人情報保護マネジメントシステム文書 |
| 文書化した情報(記録を除く。) | 文書 |
| 文書化した情報のうち記録 | 記録 |
| 運用 | 実施及び運用 |
| 要配慮個人情報 | 特定の機微な個人情報 |
参考:JIS Q 15001の閲覧方法
JIS Q 15001個人情報保護マネジメントシステム―要求事項の次の方法で内容を閲覧できるので確認しておこう。
日本工業標準調査会のTOPページ中段にある「データベース検索のJIS検索」をクリック→「JIS規格番号からJISを検索」に「Q15001」と入力して一覧表示をクリック。
2.個人情報保護マネジメントシステム(PMS)
「個人情報保護マネジメントシステム(PMS)」とは、適切な個人情報の管理について実践すべき事柄をまとめた管理システムのことである。
具体的には、「個人情報保護を実践するための計画を立て、実行し、個人情報保護が適切に行われているか定期的に評価し、改善する」というPDCAサイクルを運用していく手法のことを指す。
プライバシーマークを取得するためには、事業者はこの個人情報保護マネジメントシステム(PMS)を構築する必要がある。
1で紹介した「JIS Q 15001個人情報保護マネジメントシステム―要求事項」とは、個人情報保護マネジメントシステム(PMS)を構築するための基準と考えてもらうとわかりやすい。
つまり、事業者は「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に準拠した個人情報保護マネジメントシステムを構築していくことになる。
具体的な構築の方法は、「JIS Q 15001:2017対応 個人情報保護マネジメントシステム導入・実践ガイドブック」を参考にしてもらいたい。
尚、個人情報保護マネジメントシステムのことを、英語で「Personal information protection Management Systems」と言い、その略称をアルファベットの頭文字を取って「PMS」と言う。
これからの記事でも頻繁に出てくるので個人情報保護マネジメントシステム=PMSと覚えておこう。
参考:JIS Q 15001:2017対応 個人情報保護マネジメントシステム導入・実践ガイドブック
「JIS Q 15001:2017対応 個人情報保護マネジメントシステム導入・実践ガイドブック」
3.プライバシーマークの利用を申請し、審査機関の審査を受ける
プライバシーマークは、審査機関の審査を受け、認定された事業者だけが利用できる。
JIS Q 15001に準拠した個人情報保護マネジメントシステム(PMS)を構築したら自動的に付与されるものではない
つまり、プライバシーマークを取得するためには、自らの意思で申請を行い、審査機関の審査を受けなければならない。
審査を受け、次の4つが審査機関に認められればプライバシーマークを利用できる。
(1)JIS Q 15001に準拠した個人情報保護マネジメントシステム(PMS)が構築していること
(2)PMSに基づき実施可能な体制が整備され、かつ個人情報の適切な取扱いが実施されていること
(3)社会保険・労働保険に加入した正社員または役員(監査役を除く)が2名以上いること
(4)欠格事項に該当しない事業者であること
参考:社会保険・労働保険に加入した正社員または役員(監査役を除く)が2名以上いること
個人情報保護マネジメントシステム(PMS)を構築するためには、「個人情報保護管理者」と「個人情報保護監査責任者」が1名ずつ必要であるため、2名以上の事業者でなければプライバシーマークが取得できない。
またその2名は「社会保険・労働保険に加入した正社員」または「役員(監査役を除く)」でなければならない。
つまり、社長とパート・アルバイトしかいない事業者はプライバシーマークを取得できないことに注意しよう。
参考:欠格事項
欠格事項に該当する事業者は、プライバシーマークを取得することが出来ない。
具体的には、役員の中に、禁錮以上の刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から2年を経過しない者がいる事業者などを指す。
一般的な企業においては欠格事項に該当することはないが、念のため、次を参考にしてもらいたい。
「申請資格について」
最後に
プライバシーマークのポイントは必ず理解してもらいたい。
なぜなら、理解せぬまま取り組んでしまうと、プライバシーマークを難しく、ややこしく考えてしまい、不要な作業を行うことになりかねない。
「USBメモリは使っていいのか?」「パスワードはつけないといけないのか?」「カードキーの導入は必要か?」「目隠し用の仕切りが必要か?」といったことばかり気にしている方は既に難しく考えてしまっていると言っても良い。
プライバシーマークは、「JIS Q 15001に準拠した個人情報保護マネジメントシステム(PMS)を構築し、PMSを実施」すれば取得できる。
※人員要件、欠格要件はクリアしていることが前提
この原点を忘れてはならない。
「JIS Q 15001に記載されているもの」と「PMSの構築に求められるもの(※具体的にはガイドブック参照)」だけ対応すればプライバシーマークは取得できる。
逆に言えば、記載されていない、求められていないものはプライバシーマークの取得において関係ないということだ。
悩んだときは、「JIS Q 15001に記載されているのか」と「PMSの構築に求められるのか」を念頭に回答を導き出せば良い。
プライバシーマークの原点に帰ることで不要な作業や誤った認識が防げるので覚えておこう。