第2回 プライバシーマーク制度を学ぶ対策に最適な制度を活用する(1/5 ページ)

個人情報に関する各種制度を解説するシリーズ第2回では、個人情報の保護にかかわる認証として、JIPDECが中心となり制度運営を行っている、プライバシーマーク制度について解説したい。

» 2005年01月27日 08時37分 公開
[丸山満彦(監査法人トーマツ),ITmedia]

プライバシーマーク制度の概要

1.特徴

 プライバシーマーク制度は、JISQ15001:1999(以下、JISQ15001)に適合する個人情報の取り扱いに関するコンプライアンス・プログラム(マネジメント・システム)を整備、運用する事業者を対象に、第三者機関が評価・認定し、マークの使用を認める制度である。1998年より開始されているプライバシーマーク制度は、企業の一部署やWebサイトではなく、原則として法人全体に認定を与えるところが特徴となっている(事業部制などを採用していて、取締役が統括している場合は、事業部単位で認定を受けることができる)。

 また、ISMS適合性評価制度(次回解説予定)が個人情報を含む企業の幅広い情報全般についての安全管理を問うのに対し、プライバシーマーク制度は、個人情報の取り扱い(安全管理も含む)についてのみ一定の要件を定めてその順守を問うものとなる。つまり、プライバシーマーク制度では、個人情報に該当しない営業秘密、インサイダー情報、契約に基づく非開示情報の機密性の確保、会計データや製品スペック情報などの完全性の確保、事業継続計画の策定は対象とはならない。

2.スキーム

 プライバシーマーク制度は、付与機関であるJIPDECが認定を希望する事業者を審査し、マークの付与を行っている。また、JIPDECはこのほかにも、付与指定機関の指定、個人からの苦情も受け付けている。付与指定機関は、2004年12月30日現在、4機関(社団法人情報サービス産業協会、社団法人日本マーケティング・リサーチ協会、社団法人全国学習塾協会、財団法人医療情報システム開発センター)がある。

 付与指定機関は、その会員企業からプライバシーマークの申請があった場合に審査を行うとともに、プライバシーマークを取得した会員企業に対する指導、監督を行う。

3.認定数とその内訳・傾向

 認定数は、2005年1月14日現在、1046事業者である。業種別の内訳を見ると、情報サービス業・調査業が652社と最も多く全体の約3分の2を占める。情報サービス業は個人データの取り扱いを委託される事業者であり、自らのために利用する事業者ではない。つまり、利用目的に応じた個人情報の適切な取り扱いや、同意に基づく第三者提供といった部分とはあまり関係のない事業者である。これは興味深い傾向だ。

図1 図1■業種別認定数(2005年1月14日現在)

 年度別の新規認定数は、下の図2からもわかるように年々増加している。今年度の認定数は12月現在のものになるが、2005年3月末に向けプライバシーマーク取得を目指す企業が増加することを考えると、今年度は昨年度を上回る結果が予測される。

図2 図2■年度別認定数の推移

認定取得のメリット・意義

       1|2|3|4|5 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ