付与機関または指定付与機関では、プライバシーマークを申請した企業に対して、JISQ15001を判断基準に審査する。つまり、マークを取得した企業は、JISQ15001に適合した社内体制および、それに従った運営が行われていることが第三者に保証されていることになる。すなわち、第一義的には、利害関係者に対し、経営者の説明責任が果たせるという点が重要なポイントだ。
その結果、顧客は安心して個人情報をプライバシーマーク取得企業に取り扱ってもらうことができるようになる。しかし独立した第三者による監査、認定、認証というものは、まず、企業が説明責任を果たすことを重視している。そのため顧客の安心や信頼も、説明責任を果たした結果得られるものであるという理解が必要になる。
ここでは、プライバシーマークの取得手続きの要点を説明しよう。詳細についてはWebページ(財団法人日本情報処理開発協会/プライバシーマークの申請受付について)を参照していただきたい。
1.申請が可能な事業者等
プライバシーマークの申請は大規模会社であれば事業部単位でも可能だが、原則は法人単位となる。また、民間事業者を前提としているが、自治体などであっても取得は可能とされている。ただし、自治体の場合は「行政機関個人情報保護法」を参考とした自治体独自の条例を定めていると思われるので、民間事業者を念頭においたJISQ15001と矛盾なくコンプライアンス・プログラムを構築できるか、検討の余地はありそうだ。2005年1月14日現在、プライバシーマークを取得した自治体はない。
また、申請に際しては欠格事項がある。申請日から過去2年以内に個人情報の漏えい事件等を起こした事業者は申請できない。さらに、一度プライバシーマークを取得しても、更新審査がある。2年以内に更新審査で適合していることを保証されなければ、プライバシーマークの利用ができなくなる。
2.申請費用および審査時間
これを超える場合は、1時間4万円が加算される。また、旅費交通費は別途請求され、審査の結果不備等があった場合は、再審査が行われ別途費用も発生する。
|
3.申請から認証取得までの流れ
申請からプライバシーマーク取得までの流れは次の通り。
申請書類は、申請書類チェックリストと申請様式10種類がある。様式の中には、JIS要求事項とコンプライアンス・プログラム文書との対応表、教育実施記録、監査実施記録などが含まれており、申請時に一通りマネジメントサイクルを実施しておかなくてはならない。
付与機関または指定機関は申請書類を受け取ると、書類審査を経て、問題がなければ現地審査を行う。審査時の質問内容なども、JIPDECのWebページに掲載されている(財団法人日本情報処理開発協会/プライバシーマーク申請から利用までの流れ)。なお、現地調査項目を見ると、JISQ15001に記載されていない項目もある。従って、実際の審査のためには、JISQ15001の要求事項と併せて、下記の調査項目に対応していることが求められる。
1.代表者へのインタビュー
2.運用状況の確認
3.運用状況の確認現場での実施状況の確認
(出展:JIPDEC Webサイトより)
Copyright © ITmedia, Inc. All Rights Reserved.