健康マインド 
Twitterアカウント
この前の記事で、正式には「個人情報の保護に関する法律」である「個人情報保護法」という法律について、分かりやすく簡単にまとめた内容を紹介しました。
それは、法律なので当然、守らなくてはならないものなのですが、それとは別に、ちゃんとその法律の基準をそれ以上に厳しく守られている事業所であるという「証」がPマークと呼ばれるものです。
それは、どのような位置づけで、どれほど、事業者や、その事業に関係るする我々の個人情報がどのように関わっていているのかを一般の消費者、会社員目線でもわかるように丁寧に解説しますので、じっくり読み込んでみてください。
プライバシーマーク制度とは
「個人情報」と「プライバシー」の違い
いっけんすると「個人情報」と「プライバシー」という言葉はあまり区別することなく同じように僕たちの生活の中では使われています。
でも、この2つの言葉は関係性はありますが、正確にはそもそもの意味が違うのです。
「個人情報」とは、
本人の氏名、生年月日、住所などの記述等により特定の個人を識別できる情報のこと。
「プライバシー」とは、
個人や家庭内の私事・私生活。個人の秘密。また、それが他人から干渉・侵害を受けない権利のこと。(小学館「大辞泉」)
つまり、「個人情報」は情報のことで「プライバシー」は権利のことなのです。
プライバシーマークってどんなマーク?
マークっていうくらいですから、印というかシンボル的な形をした、しるしや記号があるのです。
それが、下のマークで、それぞれに意味があり、なるほどなあと思わせるものですね。
僕の会社の名刺にもつけられていますよ。
Privcyの頭文字「P」を丸で囲んでいますが、そのPは「i」と「P」が合わさっているのですね(^^♪
そして、この「プライバシーマーク」という呼び名は、プライバシーの侵害のない安心・安全な社会の実現への願いを込めてつけられました。
プライバシーマーク制度って
「プライバシーマーク制度」とは、
*JIS Q15001
個人情報保護を目的として、組織が個人情報を適切に管理するためのマネジメントシステムの要求事項が定められたJIS規格。
個人情報を取り扱っている事業者や企業などがその個人情報保護の管理体制や実際の運用方法が適切であるという事を、その取引先、一般消費者などに“プライバシーマーク”というロゴマークをつかってアピールできる制度です。
そしてその制度の運営は、1998年から一般財団法人である日本情報経済社会推進協会(JIPDEC)が運営しています。
プライバシーマーク制度の目的とは、
- 消費者の目に見えるプライバシーマークで示すことによって、個人情報の保護に関する消費者の意識の向上を図ること
- 消費者の個人情報の保護意識の高まりにこたえ、事業者に社会的な信用を得るためのインセンティブを与えること
個人情報保護法を守るという事を事業者や企業が推進するということだけでなく、何より我々一般の消費者にも個人情報というものに対して意識を高めて、その注意が事業者や企業に向けられることで、取扱事業者にとっては法律への適合性はもちろんのこと、自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることをアピールする有効なツールとしてプライバシーマークは活用できるのです。
つまり、消費者、事業者ともそれぞれに向けての目的があり、総じてはより高い次元で日本国全体で個人情報を守るといことが目的となっているのだと思います。
「個人情報」の規定なのにどうして「プライバシー」制度なのか?
確かに、個人情報保護法やJIS Q 15001は、個人情報保護についての規格であってプライバシーの保護を直接の目的とはしていません。
ただし、このような法律や規格が守られることで、情報が規制され、結果的にプライバシーという権利が保護されるようにるのです。
だから、私生活を守り干渉や侵害がら自分を守るという権利であるプライバシー制度というネーミングにしているのです。
(と僕は勝手に思っています)
公布と制定の時期について.
平成15年5月(2003年)に公布、平成17年4月(2005年)に全面施行
JIS Q 15001について
JIS Q 15001とは
JIS Q 15001は1999年に当時の通商産業省(現在の経済産業省)より告示された日本工業規格です。
「日本工業規格」のことは通常、JISと略して使われ、呼ばれています。
なぜJISかというとそれは、「日本工業規格」を英語にすると、Japanese Industrial Standardsとなり、それぞれの頭の3文字をとっているのです。
JIS Q 15001は、「個人情報保護マネジメントシステムの要求事項」とその内容の意味合いから呼ばれています。
その要求事項は、個人情報保護法、政府の基本方針、分野別ガイドラインを経営に織り込むための規格となっています。
なので、それぞれの法令、方針、ガイドラインが変更となるたびにその要求事項であるJIS Q 15001は改定されることになるのです。
もう少し、分かりやすく言うと、
事業者が保有する個人情報を保護するための方針、組織、計画、実施、監査および見直しというマネジメントシステム(MS)を構築するための要求事項を網羅したもの
と言い換えることが出来るでしょう。
一冊の冊子になっていますが、現在のものが下の写真のもので、価格は税込み4,400円です。
JIS Q 15001という記号の意味
・規格は日本工業規格(JIS)
・管理システムでの分類が(Q分類)
・規格番号が(15001)
運営機関について
プライバシーマーク制度の運営については、2つの機関がたずさわっていますのでそれぞれの役割について説明します。
・日本情報処理開発協会(JIPDEC)
指定機関の任命やプライバシーマーク付与申請の審査・認定及び付与
・指定機関
事業者からのプライバシーマーク付与申請の受け付け、申請内容の審査・調査・付与認定
法人格は一般社団法人が多いです。
プライバシーマーク認定までの流れ(概要)
プライバシーマークを認定されるには、実はそれ相当の実施事項が必要なのです。
そこで、ポイントとなるのが、上の表でしました「PMS構築」です。
言い換えれば「PMS構築」が適切にできていてそれがちゃんと「運用」つまり、実施できているという事がプライバシーマークをとるという事で、最も重要なポイントなのです。
PMSとは、個人情報保護のマネジメントシステムのことで、Personal information protection Management Systemsを略して「PMS」と呼びます。
会社規模等により変動しますが、一般的なそれぞれの項目をを時系列で表すと下のとおりです。
PMS構築:2ヶ月
⇓
運用:3ヶ月
⇓
申請(審査):2ヶ月
⇓
付与:3ヶ月
もっとも重要なPMS構築とは
このシステムは、それぞれの事業者や企業ごとに、プライバシーマークの認定を受ける際に構築する必要があります。
PMSとは、個人情報保護のマネジメントシステムのことで、Personal information protection Management Systemsを略して「PMS」と呼びます。
プライバシーマーク認定までの工程について
プライバシーマークを新規に取得する場合の申請までにしなければならないこと、準備や参考情報などをご紹介します。
- 自社の個人情報保護方針を定め文書化する
-
個人情報保護マネジメントシステム策定のための組織を作る
-
作業計画を立てる
-
個人情報保護方針を組織内に周知する
-
個人情報を特定する
-
法令、国が定める指針その他の規範を特定する
- 個人情報のリスク分析し対策を検討する
- 必要な資源を確保する
- PMSの内部規定を策定する
- PMSを周知するための教育を実施する
- PMSの運用を開始する
- PMSの運用状況を点検し改善する
- PMSの見直しを実施する
PMSを構築し運用する
まず、申請する前の準備段階として、もっとも重要なPMS構築を適切に行う事が必須となります。
ご存じのかたも多いかもしれませんが、Plan(計画)Do(実施)Check(点検・評価)Action(改善)というPDCAマネジメントサイクルを実施することがより精度の高いPMSとするためには必須です。
尚、以下に示したステップ13は、プライバシーマーク取得の認定申請を行う時点で少なくとも実施されていなければならないものとなっています。
必要な項目を盛り込んだ個人情報保護方針を作成して内外に公表しなければならないのです。
*以降のステップはすべてこの個人情報保護方針の個々の内容を具体化したもの!
*最低限必要なルールはJISQ15001の規格に列挙されてるので、内部規程がJIS Q 15001の要求事項と整合していないというような状況が生じないように注意すること。
それは、その自社のルールがJISQ15001規格に適合していないのであればプライバシーマークの取得や更新はできないからです。
さらに実施した結果の有効性を評価し、記録に残し、次回以降の教育に生かしていく必要もあります。
*内部監査とは外部による取得審査や更新審査と違って事業者が主体となってマネジメントシステムを点検する活動のことです。
中でも毎年実施するマネジメントレビューは最適な機会で現状のPMSが会社の方向性や業務と比較して適切かどうかを確認し、必要に応じて改善を図るようにします。
Pマーク申請から取得まで
自社の個人情報保護マネジメントシステム(PMS)を構築し運用した後にプライバシーマーク(Pマーク)を取得する場合の流れを説明します。
申請書は添付する書類も含めるとかなりの数になりますが、正確に間違いの内容作成する必要があります。
書類がすべてそろっていることが確認されると、請求書が送付されてきて申請料を支払いをします。
審査の対象となる文書はstep2で提出した申請書類で、申請手続き後そのまま文書審査に入ることになります。
文書審査では主に2つのことが確認されます。
1、プライバシーマークの内部規程として定めた文書がプライバシーマークの規格であるJIS Q 15001に適合しているかどうか。
2、その内部規程を具体化したマニュアル類がJIS Q 15001上、最低限求められるものを含めて適正に作成されているかどうか。
文書審査の結果は、次の現地審査の前に通知されるので、指摘があれば現地審査までに改善しておく必要があります。
現地審査ではまず代表者へのインタビューが行われプライバシーマーク取得において会社の代表者がどのように指揮を執っているかが確認されます。
次に運用状況の確認が行われますが、これは通常プライバシーマークの管理責任者や担当者へのヒアリングの形で行われます。
続いて現場での実施状況の確認という流れで実施されます。
可となり認定されればプライバシーマークを使用することができるようになります。
なおプライバシーマーク(Pマーク)には2年という有効期限があるので、継続して使用するためには更新審査を受ける必要があります。
JIS Q 15001と他の法律、規格についての相違まとめ
「JISQ 15001」という個人情報保護マネジメントシステムの要求事項は、国の法令である個人情報保護法や他の国際標準規格と比べてどのような違いがあるのかを分かりやすくまとめたのでみてみてください。
個人情報とプライバシーとの違い
この2つの内容は同じなのか、それとも全く違うのでしょうか?
結論から言うと、この二つの内容は異なり、一例ではありますが具体的には下記のような違いがあるのです。
上の一例を比較した表からもわかるように「JISQ15001で要求される内容は個人情報保護法よりも厳しい内容」となっています。
プライバシーマークはJISQ15001の要求事項に沿って審査機関の審査を受けて合格しなければ取得することができない認証です。
よって、プライバシーマークを取得している企業は、必然的に個人情報保護法を遵守していると言えます。
そもそもISO/IEC 27001とは
ISO/IEC 27001とは、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
情報の機密性・完全性・可用性の3つをバランスよくマネジメントし、情報を有効活用するための組織の枠組みを示しています。
つまり、JOSQ 15001は、個人情報マネジメントシステム(PMS)に関する日本産業規格で個人情報保護に限っての要求事項に対して、ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)の要求事項という違いがあるのです。
ISMSとは、情報セキュリティのマネジメントシステムのことで、Information Security Management Systemsを略して「ISMS」と呼びます。
ISOとは、スイスのジュネーブに本部を置く非政府機関 International Organization for Standardization(国際標準化機構)の略称。
ISOは、電気を除く工業規格を策定する民間の非政府組織で、世界最大の国際標準化組織。
主な活動は国際的に通用する規格を制定することで、ISOが制定した規格をISO規格という。
IECとは、スイスのジュネーブに本部を置く非政府機関International Electrotechnical Commission(国際電気標準会議)の略称。
ISOで取り扱っていない、電気工学、電子工学の分野における国際規格の策定を行っている国際標準化機関。
なので、ISO/IEC27001とは、全産業、業種での情報セキュリティマネジメントシステム(ISMS)に関する国際規格といえます。
ISO/IEC27001とJIS Q 15001の違い
よく、うえの2つの規格は、並行してみることがあります。
いったい、どのような違いや関係性があるのか、ここで見ていきたいと思います。
一番大きな違いは、その管理対象です。
ISMSは、すべての情報資産を守るといことに対してプライバシーマークは、個人情報と特定個人情報(マイナンバー)の保護に限定されています。
全ての情報資産には、もちろん、個人情報も含まれますが、それだけでなく、取引先との打合せ議事録、設計情報、自社の財務情報などなど、様々なものが含まれています。
ただし、そこに含まれる個人情報の保護に関しては、個人情報保護が専門のプライバシーマークの要求事項であるJISQ15001よりは緩く、個人情報保護法のレベルです。
個人情報保護方針とプライバシーポリシーの違い
よく、会社のホームページや、ネットで商品を購入するときに個人情報保護方針やプライバシーポリシーは、”コチラです”みたいなのを目にすることがあると思います。
いったい、それらの違いは、何なのかを分かりやすく説明します。
個人情報保護方針とは
個人情報保護方針とは、会社として個人情報についてどのように取り扱うかという取り決めが書かれているもの。
プライバシーマークの認証を受けた事業者では、この「個人情報保護方針」を策定・公表することが必須で、どのような内容を含めなければならないかも決まっています。
また、従業員向け(内部向け)と一般の方向け(外部向け)両方を策定することが必要です。(内部向けと外部向けを同一のものとすること可)
内部向け個人情報保護方針に含めなければならない事項
- 事業の内容などを考慮した「個人情報」の適切な取得・利用・提供に関すること
- 「個人情報」の取り扱いに関する法令、国が定める指針そのほかの規範を遵守すること
- 「個人情報」の漏えいなどの防止および是正に関すること
- 苦情および相談への対応に関すること
- 個人情報保護マネジメントシステム(PMS)の継続的改善に関すること
- 代表者の氏名
外部向け個人情報保護方針に含めなければならない事項
- ~6. 上記内部向け事項
- 制定年月日及び最終改正年月日
- 個人情報保護方針の内容についての問合せ先
プライバシーポリシーとは
プライバシーポリシーとは、個人情報保護方針の内容だけでなく、プライバシーの権利利益を保護するための個人情報の取扱方針をまとめたもの。
個人情報保護方針と違い、含める項目に決まりはないので内容は会社によって違いますし、プライバシーポリシーの策定・公表は必須ではないのです。
メーカーであれば製品に関しての個人情報の取扱い方法、SNSを利用する際のルールを記載してもいいのです。
違いのまとめ (Pマーク付与事業者(会社))
ただし、個人情報保護方針は上記の必須な内容を含んでいれば、その名称を“プライバシーポリシー”としていても問題はありません。
まとめ
僕たちが良く耳にしたり、目にしたりしている「プライバシーマーク」について、わかりやすく解説しましたが、いかがでしたでしょうか。
いわゆる、情報過多になり、ネット犯罪が往来している昨今、接触する会社などの個人情報をちゃんと扱っているという「証」であるプライバシーマークの有るなしが、安心してとりひきできるか、否かの目印、バロメーターになっている現状ではないかと思います。
また、様々な業界、業種においての商品購入であったり、情報の供給を受けるにあたって、その会社のプライバシーポリシーがとても重要になっていています。
僕たち、個人だけではなく家族を含めてちゃんと理解して、確認することが被害をなくして安心して生活をするためには求めれらるのではないでしょうか。
kenko-mind!
