経営者:「個人情報保護法の対策としてプライバシーマークを取りたいのですが」
 |
| プライバシーマーク取得の相談 |
アドバイザー:「それは、よいことですね。ぜひ、おすすめします。」
経営者:「わが社のような通販業界では品物を送るのに個人情報を扱わざるをえなく、また件数も多いので個人情報取扱事業者になってしまいます。」
アドバイザー:「個人情報取扱事業者の要件となる5000件はかるく超えるでしょうね。」
経営者:「同業他社もプライバシーマーク取得に動いているようです。そこでわが社も申込書などへプライバシーマークをつけるのにぜひ取りたいと考えています。」
アドバイザー:「ちょっと待ってください。同業他社が取るから対抗上、プライバシーマークを取得するということですか?」
プライバシーマーク取得が目的?
個人情報保護法は個人情報を取り扱う事業者が遵守すべき義務などを明らかにしたものです。適切な個人情報の取り扱い方は企業によって異なります。自社の身の丈にあった個人情報の取扱をしていかなければなりません。
 |
| 入退室管理 |
例えば個人情報を入力・閲覧するパソコンは隔離した方がよいでしょうが、そのためにICカードで入退室管理する部屋を新たに作るのは無理です。現状、パソコンが後ろからのぞけるような机に置かれているのなら違う机に変更し、また外部への持ち出しを防ぐためUSB等の差込口を物理的にふさぐなど、その企業にあった対応を考えなければなりません。
目的は個人情報を適切に扱う仕組みを作り上げることです。そのための目標としてプライバシーマーク取得を目指すのならかまいません。
同業他社が取るからウチもという発想で、プライバシーマーク取得が目的になってしまえば本末転倒です。以前、公共工事の入札要件としてISO9000が求められるのではとISO9000取得がブームとなりましたが、その状況によく似ています。
また個人情報保護法施行にあわせプライバシーマークが注目を集め、取得申込が大幅に増えています。審査員が足りない状況で、養成も行っていますが申請をしても半年は待たないといけないという状況になっています。
プライバシーマークって何?
そもそもプライバシーマークとは何でしょうか?事業者の申請に基づき個人情報の取扱いを適切に行っているかどうか審査し、審査が通れば財団法人日本情報処理開発協会(JIPDEC)が『プライバシーマーク』を付与します。つまり第三者認証になっています。
付与された事業者はプライバシーマークを店頭に貼ったり、説明書や封筒、また名刺やホームページに記載することができます。プライバシーマークの有効期限は2年間で、2年毎に更新します。
『個人情報の取扱いを適切に行っているかどうか』をもう少し詳しく言うと、JISの中に『JIS Q 15001』という個人情報保護に関する要求事項を書いたものがあります。
企業はこの要求事項に準拠したコンプライアンス・プログラムをまず作ります。作ったコンプライアンス・プログラムに基づき実施可能な体制を整備し審査を受けます。
| プライバシーマーク取得費用 |
| コンプライアンス・プログラムの策定、取得費用について記載しています。 |
つまりプライバシーマークを付与された事業者は、JIS規格にのっとり適切な個人情報の取扱をしているという目安となります。ただし、ISO9000などでも当初は一生懸命に取り組んで取得しますが、時間の経過とともに形骸化してしまう事例があります。同じように目安にしかすぎません。
プライバシーマークは2004年11月に累計で1000事業者を越え、現在では1100以上の事業所が認証取得しています。プライバシーマーク制度は1998年4月1日から運用が始まりましたが、1998年は58件、1999年71件程度で、情報処理サービス業や印刷業が多くを占めていました。2003年から300件近くに増え始め、現在では色々な業種に広がっています。
プライバシーマーク制度は個人情報保護法の前からあった制度です。ですのでプライバシーマークを取得したから個人情報保護法に対応したことにはなりません。もちろん作成したコンプライアンス・プログラムにのっとってPDCAのマネジメントサイクルをきっちり回していけば、結果として個人情報保護法に対応したことになります。
経営者:「というとプライバシーマーク取得を第一に考えていては駄目なんですね。」
アドバイザー:「その通りです。ところで第三者認証ですがプライバシーマーク以外にもあることをご存知ですか?」
経営者:「えっ、他にもあるんですか。」
