プライバシーマーク

プライバシーマークとは、個人情報保護に関して一定の要件を満たした事業者（基本的には法人単位。ただし、医療関連については病院ごとなど例外あり）に対し、一般財団法人日本情報経済社会推進協会 (JIPDEC) により使用を認められる登録商標（サービスマーク）のこと。Pマークと略して呼ばれることもある。

1998年 4月より付与が開始された。申請を行い認定されれば、このマークを自社のパンフレットやウェブサイトなど公の場で使用することができ、個人情報の安全な取り扱いを社会に対してアピールできるというメリットがある。また、官公庁や自治体などの入札参加条件にプライバシーマークの認定を条件としているところも多くなっている。ただし、Pマークを取得しているからといって個人情報の安全な取り扱いが行われているとは限らないので、注意が必要である。また、一般財団法人日本情報経済社会推進協会では、Pマークの付与は、認定個人情報保護団体の対象事業者を意味するものではないとしている。そして、基本的にPマークを付与された事業者に対する個人情報保護法第４２条に基づく苦情を受け付けていない。^[1]　したがって、プライバシーマークは法的根拠のない資格商法の一種となる。認定個人情報保護団体のJIPDECが、対象事業者以外の者を独自に認定することで、一般人が認定個人情報保護団体の対象事業者でない事業者に過大な評価をしてしまう怖れがあり、一部の自治体などが入札参加条件にプライバシーマークの認定を条件としていることは、誤解が発現したものであるといえる。(本来なら、認定個人情報保護団体の対象事業者を条件としなければ意味をなさない）

2014年7月25日現在13,679社^[2]の事業者がプライバシーマークを取得している。

取得方法

Pマーク取得にあたっては、日本工業規格（JIS）のJIS Q 15001（個人情報保護マネジメントシステム ― 要求事項）に適合した個人情報保護体制を構築・運用していることが必要である。この規格は、個人情報取得の際には本人の同意を得ること、個人情報を利用目的の範囲内で取り扱うこと、個人情報を適切に管理すること、本人から自己の個人情報を開示・訂正の請求に応じる仕組みを有することなど、個人情報保護体制の計画→実施→検査（監査）→見直し・改善（いわゆるPDCA）のそれぞれのフェーズごとに詳細な要求事項を定めている。これらは2005年4月より全面施行された個人情報保護法に定められている個人情報取扱事業者の義務よりも厳格である。

前述の体制の整備後、所定の書類と申請料を添え、日本情報経済社会推進協会あるいは後述の指定審査機関へ申請する。

Pマーク申請後は、書類審査の後に事業所への立ち入りを伴う現地審査が行われ、JIS Q 15001への適合性が審査される。その結果、なんらかの改善指摘を受けることが普通である。これに対して事業者が改善の報告を行い、審査員によって改善の確認がされ、審査会の審議を経て、審査合格となる。その後、審査合格事業者とJIPDECとの間でプライバシーマーク（商標権）の使用を許諾する契約を締結する。同時に事業者名が公式サイトにも記載される。

Pマークの使用期間は2年間（有料）であり、その後さらに使用を希望する場合は更新審査を受け合格する必要がある。

運用実態

Pマーク取得事業者が、個人情報保護法等およびJIS Q 15001に違反する個人情報の取扱いを組織的に行った場合は、Pマークの使用を取り消し、当該違反事業者名を2年間、JIPDECのホームページ上に公表するといった制裁が行われる（過去に公表された例がある）。

一方、法人の吸収、合併、清算など変更の発生した場合や、何らかの事情により更新を見送り、プライバシーマークの使用を取りやめる事業者もある。^[3]

Pマーク取得のメリットと問題点

Pマークを取得することで、個人情報保護法第３７条１項１号の対象事業者となるという一般的誤解がある。そのため、マークを取得する事業者は、誤解に基づいた安心感・信頼感を得られるメリットがある。なお、認定個人情報保護団体は、個人情報保護法第４１条１項により、「当該認定個人情報保護団体の構成員である個人情報取扱事業者又は認定業務の対象となることについて同意を得た個人情報取扱事業者を対象事業者としなければならない」とされており^[4]、非対象事業者に対して認定業務を行うことは許されていない。したがって、Pマーク取得が、対象事業者認定と一致しない限り、プライバシーマークの付与は違法性を帯びることになる。

取得事業者における情報漏洩問題

2006年におけるプライバシーマーク取得事業者における個人情報の取り扱いにおける事故として、JIPDEC及び他の指定機関が受け付けた報告は、439社、708件に及んだ。内JIPDECが受け付けた事故報告は651件有り、その97%は情報漏洩事故である。漏洩事故の内訳は、個人情報を含む書簡・FAX、メールの誤配による情報漏洩が405件と6割以上を占めている。また、Antinnyなどファイル交換ソフトを使ったことによる漏洩は、28件(4%)であった^[5]。

中でも、大日本印刷が864万件以上という過去最大（2007年3月時点）の個人情報流出事故を起こしているが、JIPDECは認定取り消しの次に重い処分である「改善要請」を出し、認定を取り消すことがなかった^[6]。JIPDECは認定を取り消すよりも、制度の枠内で適切な再発防止策を講じさせるほうが有効であると結論付けているが、Pマーク自体の信頼性にもかかわる事件であり、認定を取り消すべきであると言う批判が相次く事態となった（ただし、当時の制度は、個人情報漏洩だけでは取消処分にはできないものであった）。なお、大日本印刷は当時JIPDECの賛助会員の一員であった（2010年11月現在も継続中）^[7]。

三菱電機インフォメーションシステムズは2000年から2010年7月まで図書館貸し出しシステムに宮崎県えびの市の図書館利用者2761名を含む約3000名の個人情報を添付した状態でパッケージとして76カ所の図書館に納品し^[8]、さらにAnonymous FTPサーバをVPNなどを用いず不用意に設定したため誰でもアクセスできる状態になっていた^[9]。しかし、その直後に行われたJISA 平成22年度第7回審査会でペナルティを受けることなくプライバシーマークの認定が更新された^[10]。JISAは2011年1月24日付で、同社のプライバシーマーク付与認定を一時停止（2か月）にすると発表した。^[11]。