プライバシーマーク

出典: フリー百科事典『ウィキペディア(Wikipedia)』
2014年7月25日 (金) 22:10時点におけるTomo1421 (トーク)による版 (取得社数の更新)
(差分) ← 古い版 | 最新版 (差分) | 新しい版 → (差分)
移動先: 案内検索

プライバシーマークとは、個人情報保護に関して一定の要件を満たした事業者(基本的には法人単位。ただし、医療関連については病院ごとなど例外あり)に対し、一般財団法人日本情報経済社会推進協会 (JIPDEC) により使用を認められる登録商標(サービスマーク)のこと。Pマークと略して呼ばれることもある。

1998年4月より付与が開始された。申請を行い認定されれば、このマークを自社のパンフレットウェブサイトなど公の場で使用することができ、個人情報の安全な取り扱いを社会に対してアピールできるというメリットがある。また、官公庁や自治体などの入札参加条件にプライバシーマークの認定を条件としているところも多くなっている。ただし、Pマークを取得しているからといって個人情報の安全な取り扱いが行われているとは限らないので、注意が必要である。また、一般財団法人日本情報経済社会推進協会 では、Pマークの付与は、認定個人情報保護団体の対象事業者を意味するものではないとしている。そして、基本的にPマークを付与された事業者に対する個人情報保護法第42条に基づく苦情を受け付けていない。[1] したがって、プライバシーマークは法的根拠のない資格商法の一種となる。認定個人情報保護団体のJIPDECが、対象事業者以外の者を独自に認定することで、一般人が認定個人情報保護団体の対象事業者でない事業者に過大な評価をしてしまう怖れがあり、一部の自治体などが入札参加条件にプライバシーマークの認定を条件としていることは、誤解が発現したものであるといえる。(本来なら、認定個人情報保護団体の対象事業者を条件としなければ意味をなさない)

2014年7月25日現在13,679社[2]の事業者がプライバシーマークを取得している。

取得方法

Pマーク取得にあたっては、日本工業規格(JIS)のJIS Q 15001(個人情報保護マネジメントシステム ― 要求事項)に適合した個人情報保護体制を構築・運用していることが必要である。この規格は、個人情報取得の際には本人の同意を得ること、個人情報を利用目的の範囲内で取り扱うこと、個人情報を適切に管理すること、本人から自己の個人情報を開示・訂正の請求に応じる仕組みを有することなど、個人情報保護体制の計画→実施→検査(監査)→見直し・改善(いわゆるPDCA)のそれぞれのフェーズごとに詳細な要求事項を定めている。これらは2005年4月より全面施行された個人情報保護法に定められている個人情報取扱事業者の義務よりも厳格である。

前述の体制の整備後、所定の書類と申請料を添え、日本情報経済社会推進協会あるいは後述の指定審査機関へ申請する。

Pマーク申請後は、書類審査の後に事業所への立ち入りを伴う現地審査が行われ、JIS Q 15001への適合性が審査される。その結果、なんらかの改善指摘を受けることが普通である。これに対して事業者が改善の報告を行い、審査員によって改善の確認がされ、審査会の審議を経て、審査合格となる。その後、審査合格事業者とJIPDECとの間でプライバシーマーク(商標権)の使用を許諾する契約を締結する。同時に事業者名が公式サイトにも記載される。

Pマークの使用期間は2年間(有料)であり、その後さらに使用を希望する場合は更新審査を受け合格する必要がある。

運用実態

Pマーク取得事業者が、個人情報保護法等およびJIS Q 15001に違反する個人情報の取扱いを組織的に行った場合は、Pマークの使用を取り消し、当該違反事業者名を2年間、JIPDECのホームページ上に公表するといった制裁が行われる(過去に公表された例がある)。

一方、法人の吸収、合併、清算など変更の発生した場合や、何らかの事情により更新を見送り、プライバシーマークの使用を取りやめる事業者もある。[3]

Pマーク取得のメリットと問題点

Pマークを取得することで、個人情報保護法第37条1項1号の対象事業者となるという一般的誤解がある。そのため、マークを取得する事業者は、誤解に基づいた安心感・信頼感を得られるメリットがある。なお、認定個人情報保護団体は、個人情報保護法第41条1項により、「当該認定個人情報保護団体の構成員である個人情報取扱事業者又は認定業務の対象となることについて同意を得た個人情報取扱事業者を対象事業者としなければならない」とされており[4]、非対象事業者に対して認定業務を行うことは許されていない。したがって、Pマーク取得が、対象事業者認定と一致しない限り、プライバシーマークの付与は違法性を帯びることになる。

取得事業者における情報漏洩問題

2006年におけるプライバシーマーク取得事業者における個人情報の取り扱いにおける事故として、JIPDEC及び他の指定機関が受け付けた報告は、439社、708件に及んだ。内JIPDECが受け付けた事故報告は651件有り、その97%は情報漏洩事故である。漏洩事故の内訳は、個人情報を含む書簡・FAX、メールの誤配による情報漏洩が405件と6割以上を占めている。また、Antinnyなどファイル交換ソフトを使ったことによる漏洩は、28件(4%)であった[5]

中でも、大日本印刷が864万件以上という過去最大(2007年3月時点)の個人情報流出事故を起こしているが、JIPDECは認定取り消しの次に重い処分である「改善要請」を出し、認定を取り消すことがなかった[6]。JIPDECは認定を取り消すよりも、制度の枠内で適切な再発防止策を講じさせるほうが有効であると結論付けているが、Pマーク自体の信頼性にもかかわる事件であり、認定を取り消すべきであると言う批判が相次く事態となった(ただし、当時の制度は、個人情報漏洩だけでは取消処分にはできないものであった)。なお、大日本印刷は当時JIPDECの賛助会員の一員であった(2010年11月現在も継続中)[7]

三菱電機インフォメーションシステムズ2000年から2010年7月まで図書館貸し出しシステムに宮崎県えびの市の図書館利用者2761名を含む約3000名の個人情報を添付した状態でパッケージとして76カ所の図書館に納品し[8]、さらにAnonymous FTPサーバをVPNなどを用いず不用意に設定したため誰でもアクセスできる状態になっていた[9]。しかし、その直後に行われたJISA 平成22年度第7回審査会でペナルティを受けることなくプライバシーマークの認定が更新された[10]。JISAは2011年1月24日付で、同社のプライバシーマーク付与認定を一時停止(2か月)にすると発表した。[11]

指定審査機関

一般財団法人日本情報経済社会推進協会によって指定された民間事業者団体。申請の受付・審査と付与可否の認定等を行っている。

申請する事業者が下記団体に加入しているか、本社の登記上の所在地によっては、それぞれの団体に申請する。[12]

上記団体の会員企業の場合、加入先団体に申請する。
  • 一般財団法人医療情報システム開発センター(医療・福祉関連業種の申請先)
  • 一般社団法人北海道IT推進協会(北海道に本社のある会社の申請先)
  • 特定非営利活動法人みちのく情報セキュリティ推進機構(東北地方に本社のある会社の申請先)
  • 一般社団法人中部産業連盟(愛知県、岐阜県、三重県、富山県、石川県に本社のある会社の申請先)
  • 一般財団法人関西情報センター(大阪府、京都府、福井県、滋賀県、兵庫県、奈良県、和歌山県に本社のある会社の申請先)
  • 財団法人くまもとテクノ産業財団(九州・沖縄地方に本社のある会社の申請先)
  • 特定非営利活動法人中四国マネジメントシステム推進機構(中国・四国地方に本社のある会社の申請先)

脚注

テンプレート:脚注ヘルプ テンプレート:Reflist

外部リンク

  • プライバシーマーク付与機関における苦情相談等の対応手順
  • プライバシーマーク付与事業者一覧
  • プライバシーマークの使用を中止した事業者
  • 個人情報の保護に関する法律
  • 平成18年度の個人情報の取扱いにおける事故報告にみる傾向と注意点」、JIPDEC、2007年6月11日
  • 個人情報の事故で大日本印刷株式会社に「要請」処分」、JIPDEC、2007年3月23日
  • 賛助会員一覧 - JIPDEC
  • 三菱電機:子会社システムで3000人の個人情報流出 毎日jp 2010年11月30日
  • えびの市民図書館ホームページにおける個人情報流出のお詫び えびの市教育委員会
  • 平成22年度第7回審査会 JISA社団法人情報サービス産業協会
  • 三菱電機インフォメーションシステムズ株式会社に対するプライバシーマーク付与認定の一時停止措置について JISA社団法人情報サービス産業協会
  • 申請先