プライバシーマーク
プライバシーマークとは、個人情報保護に関して一定の要件を満たした事業者に対し、財団法人日本情報処理開発協会 (JIPDEC) により使用を認められる登録商標(サービスマーク)のこと。Pマークと略して呼ばれることもある。1998年4月より付与が開始された。取得を認定されれば、このマークを自社のパンフレットやウェブサイトなど公の場で使用することができ、個人情報の安全な取り扱いを社会に対してアピールできるというメリットがある。ただし、Pマークを取得しているからといって個人情報の安全な取り扱いが行われているとは限らないので、注意が必要である。2007年7月4日現在約7,800社以上の事業者がプライバシーマークを取得している。
取得方法
Pマーク取得にあたっては、JIS規格である JIS Q 15001 (個人情報保護マネジメントシステムの要求事項)に適合した個人情報保護体制を構築・運用していることが必要である。この規格は、個人情報取得の際には本人の同意を得ること、個人情報を利用目的の範囲内で取り扱うこと、個人情報を適切に管理すること、本人から自己の個人情報を開示・訂正の請求に応じる仕組みを有することなど個人情報保護体制の計画→実施→検査(監査)→見直し・改善(いわゆるPDCA)のそれぞれのフェーズごとに詳細な要求事項を定めている。これらは2005年4月より全面施行された個人情報保護法に定められている個人情報取扱事業者の義務よりも厳格である。
Pマーク申請後(申請料が必要)は、書類審査の後に事業所への立ち入りを伴う現地調査が行われ、JIS Q 15001への適合性を判断される。無事審査合格した場合は、審査合格事業者とJIPDECとの間でPマーク(商標権)の使用を許諾する契約を締結する。
Pマークの使用期間は2年間(有料)であり、その後さらに使用を希望する場合は更新審査を受け合格する必要がある。
運用実態
Pマーク取得事業者が、個人情報保護法等およびJIS Q 15001に違反する個人情報の取扱いを組織的に行った場合は、Pマークの使用を取り消し、当該違反事業者名を2年間、JIPDECのホームページ上に公表するといった制裁が行われる(過去に公表された例がある)。
取得事業者における情報漏洩問題
2006年におけるPマーク取得事業者における個人情報の取り扱いにおける事故として、JIPDEC及び他の指定機関が受け付けた報告は、439社、708件に及んだ。内JIPDECが受け付けた事故報告は651件有り、その97%は情報漏洩事故である。漏洩事故の内訳は、個人情報を含む書簡・FAX、メールの誤配による情報漏洩が405件と6割以上を占めている。また、Antinnyなどファイル交換ソフトを使ったことによる漏洩は、28件(4%)であった[1]。
中でも、大日本印刷が864万件以上という過去最大(2007年3月時点)の個人情報流出事故を起こしているが、JIPDECは認定取り消しの次に重い処分である「改善要請」を出し、認定を取り消すことがなかった[2]。JIPDECは認定を取り消すよりも、制度の枠内で適切な再発防止策を講じさせるほうが有効であると結論付けているが、認定を取り消すべきであると言う批判も寄せられている。
指定機関
財団法人日本情報処理開発協会によって指定された民間事業者団体。申請の受付・審査と付与可否の認定等を行っている。
- 社団法人 情報サービス産業協会
- 社団法人 日本マーケティング・リサーチ協会
- 社団法人 全国学習塾協会
- 財団法人 医療情報システム開発センター
- 社団法人 全日本冠婚葬祭互助協会
- 社団法人 日本グラフィックサービス工業会
- 社団法人 日本情報システム・ユーザー協会
- 財団法人 くまもとテクノ産業財団
- 社団法人 中部産業連盟
- 財団法人 関西情報・産業活性化センター
- 財団法人 日本データ通信協会
脚注
- ^ 「平成18年度の個人情報の取扱いにおける事故報告にみる傾向と注意点」、JIPDEC、2007年6月11日
- ^ 「個人情報の事故で大日本印刷株式会社に「要請」処分」、JIPDEC、2007年3月23日