プライバシーマーク(Pマーク)


プライバシーマーク(Pマーク)とは

 個人情報の取扱いに関して、適切な保護措置を講じていると認められた民間企業に対し、第三者によって付与されるマークです。『当社にあなたの個人情報を預けてもそれが外部に漏れたり、改ざんされるような危険はありません』ということが、ひと目でわかるようマークをつけます。
 Pマークの認証取得が、個人情報取扱いにおいて業務の前提条件となるケースも増えています。


プライバシーマーク制度が注目される理由とは

 2005年4月1日より、個人情報保護法が施行されました。インターネットの普及により誰でも容易に情報発信ができるようになる一方、発信する情報を規制したり、モラルを確立するということが困難になってきました。企業等が保有する個人情報が社外に流出し、いわれのない料金を請求されたり、ダイレクトメールが送られてきたりする事件がたびたび起こっています。
 情報化社会において、個人情報を適正に管理し個人に迷惑が及ばないようにすることは、企業に課せられた社会的責務だと言えます。


プライバシーマークの構築

個人情報の特定
 通常業務のなかで、どのような個人情報を取り扱っているか。
記録媒体は何?
 企業が保有する個人情報(住所、氏名等)をすべて洗い出す 。
情報収集の方法を特定
 個人情報はどのように集めるか(アンケート、名簿、履歴書、メール等)。自社で取り扱う個人情報をどのように「収集」しているのかを明確にする。
ルールを決める
 個人情報を利用する際は、どのような手順で行なうか、社外で利用する場合にどのような手順か等、個人情報を利用、提供す場合のルールを決める。
管理方法を決める
 情報流出を防ぐには…
・情報が漏洩した場合の『被害の重要性』を評価し、対策を実施する。
・個人情報を利用提供する際に、改ざんや不正流出が起きないよう、どのように管理するかを明確にする。
 抽象的な表現ではなく、情報の正確性や安全性を確実に保障できる内容で管理すること。
文書を作る
 『わが社はこのような方法で個人情報を守っています』ことを明確にするため、上記内容を手順(コンプライアンスプログラム)として文書化する。

 個人情報は、単にパソコンや書類の管理を行なえばいいというものでなく、最後は従業員ひとりひとりの自覚と教育にかかっています。このため、従業員への周知徹底が、他のマネジメントシステム規格より重視されているのが特徴です。『社員教育』や『内部監査』といったことを通じて、個人情報流出を未然に防止し、常にシステム改善を図ることが強く望まれています。

プライバシーマークの取得に必要なこと

1.社内の個人情報の特定とリスク分析
2.CP(コンプライアンスプログラム 規定類)の作成
3.入退室を含めたセキュリティ強化
4.システム上のセキュリティ強化
5.情報収集時の告知内容への要件整備
6.教育(個人情報に対する啓蒙教育/ 社内のルール定着化のための教育)
7.外部委託先の管理
【内部規定(例)】
 (個人情報取扱細則/開示、訂正、削除/不正アクセス対策/開発・運用規定/委託先選定基準/収集、利用、提供/安全対策規定/コンピュータウイルス対策/入退管理規定/教育・監査規定 など

プライバシーマークはマネジメントシステム?

●プライバシーマークはピンポイント対策
 プライバシーマーク制度は、『方針展開』『教育の実施』『内部監査』などISOマネジメントシステムの要素を取り込んでいるため、マネジメントシステムの一種として考えられがちです。
 しかしプライバシーマーク制度は、『個人情報の漏洩というリスクをいかに防ぐか』という点に特化した管理システムを構築することが本来の目的であり、会社全体のマネジメントという視点とは異なるものと考えるほうがよいと思います。

●「ごめん」で済めばプライバシーマークはいらない!
 プライバシーマークは第三者認証制度なので、ISO 9001やISO 14001との関連性はありますが、「改善」という面で若干異なります。ISO 9001などでは、問題が発生したとしても、それが再発しないよう是正処置を行うことにより、継続的改善を図っていくことが重要視されています。
 一方、プライバシーマーク制度では、問題が発生しないことが前提です。そのため、常にシステムの更新を図ることが求められています。すなわち、問題が発生してしまえばジ・エンドということになります。それだけにシステムの構築にはかなり気を使う必要があります。

●プライバシーマークを認証取得するには
 プライバシーマーク認証までの手順は、ISO14001の構築手順とほぼ同じです。ISO14001の『環境』を、そのまま『個人情報』に置き換えるとよいでしょう。

>> プライバシーマークを取得するには(構築手順)