特集
» 2005年01月27日 08時37分 公開

対策に最適な制度を活用する:第2回 プライバシーマーク制度を学ぶ (2/5)

[丸山満彦(監査法人トーマツ),ITmedia]

 付与機関または指定付与機関では、プライバシーマークを申請した企業に対して、JISQ15001を判断基準に審査する。つまり、マークを取得した企業は、JISQ15001に適合した社内体制および、それに従った運営が行われていることが第三者に保証されていることになる。すなわち、第一義的には、利害関係者に対し、経営者の説明責任が果たせるという点が重要なポイントだ。

 その結果、顧客は安心して個人情報をプライバシーマーク取得企業に取り扱ってもらうことができるようになる。しかし独立した第三者による監査、認定、認証というものは、まず、企業が説明責任を果たすことを重視している。そのため顧客の安心や信頼も、説明責任を果たした結果得られるものであるという理解が必要になる。

認定取得の手続きおよびその留意点

 ここでは、プライバシーマークの取得手続きの要点を説明しよう。詳細についてはWebページ(財団法人日本情報処理開発協会/プライバシーマークの申請受付について)を参照していただきたい。

1.申請が可能な事業者等

 プライバシーマークの申請は大規模会社であれば事業部単位でも可能だが、原則は法人単位となる。また、民間事業者を前提としているが、自治体などであっても取得は可能とされている。ただし、自治体の場合は「行政機関個人情報保護法」を参考とした自治体独自の条例を定めていると思われるので、民間事業者を念頭においたJISQ15001と矛盾なくコンプライアンス・プログラムを構築できるか、検討の余地はありそうだ。2005年1月14日現在、プライバシーマークを取得した自治体はない。

 また、申請に際しては欠格事項がある。申請日から過去2年以内に個人情報の漏えい事件等を起こした事業者は申請できない。さらに、一度プライバシーマークを取得しても、更新審査がある。2年以内に更新審査で適合していることを保証されなければ、プライバシーマークの利用ができなくなる。

2.申請費用および審査時間

 これを超える場合は、1時間4万円が加算される。また、旅費交通費は別途請求され、審査の結果不備等があった場合は、再審査が行われ別途費用も発生する。

  新規申請時 更新時
費 用 審査時間 費 用 審査時間
小規模 30万円 5時間以内 22万円 4時間以内
中規模 60万円 6時間以内 45万円 5時間以内
大規模 120万円 8時間以内 90万円 6時間以内


3.申請から認証取得までの流れ

 申請からプライバシーマーク取得までの流れは次の通り。

  1. 申請書類の作成
  2. 申請
  3. 申請書類の受取から審査
  4. 現地調査
  5. 認定可否の決定・通知
  6. 使用許諾契約

 申請書類は、申請書類チェックリストと申請様式10種類がある。様式の中には、JIS要求事項とコンプライアンス・プログラム文書との対応表、教育実施記録、監査実施記録などが含まれており、申請時に一通りマネジメントサイクルを実施しておかなくてはならない。

 付与機関または指定機関は申請書類を受け取ると、書類審査を経て、問題がなければ現地審査を行う。審査時の質問内容なども、JIPDECのWebページに掲載されている(財団法人日本情報処理開発協会/プライバシーマーク申請から利用までの流れ)。なお、現地調査項目を見ると、JISQ15001に記載されていない項目もある。従って、実際の審査のためには、JISQ15001の要求事項と併せて、下記の調査項目に対応していることが求められる。

参考資料 現地審査時の質問内容

1.代表者へのインタビュー

 事業内容/経営方針、プライバシーマーク申請のきっかけ、個人情報保護方針とその周知方法、個人情報保護管理者・監査責任者の任命、マネジメントレビュー

2.運用状況の確認

 申請担当者、個人情報保護管理者、監査責任者等へのヒアリング
 個人情報を取り扱う業務の紹介、特定の手順、教育・訓練、監査、委託契約・選定基準、リスクの認識と処理(輸送/オンサイト委託/ネットワーク、不正アプリケーション/ウィルス/リモートアクセス)、電話帳データ等情報主体の合意を取れてないものの利用・提供の有無、情報主体からの要求に対する対応

3.運用状況の確認現場での実施状況の確認

 個人情報保護方針の周知状況 、物理的アクセス制御(入口・マシン室・倉庫・書庫・金庫・引出し、鍵管理)、論理的アクセス制御(クライアント/サーバ、暗号化、暗号鍵管理)、バックアップ(記録媒体の管理、記録、授受、破棄等の確認書類、入退室、アクセスログ、管理台帳)、オンライン特有の処置(個人情報保護方針の掲載、収集時の SSL の使用、サービス、業務毎の"同意文言"、Cookie などのWebバグの利用の有無、クロスサイトスクリプティング(CSS)などのセキュリティ対策)

(出展:JIPDEC Webサイトより)


JISQ15001の概要

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ