プライバシーマークを取得すべきでしょうか?
プライバシーマークは、個人像法保護マネジメントシステム(PMS)を定め、PMSの適切な運用がなされている場合等に、一般財団法人日本情報経済社会推進協会(JIPDEC)により付与されます。
プライバシーマーク制度とは
プライバシーマーク制度は、一般財団法人日本情報経済社会推進協会(JIPDEC)が創設した制度であり、個人情報の取り扱いについて適切な保護措置を講じる体制を整備している民間事業者等に対し、その証としてプライバシーマーク(以下「Pマーク」といいます。)を付与し、事業活動においてその使用を認定する制度のことをいいます。
昨今では、DX化の推進により様々な業界において情報の利活用がなされている一方で、企業の情報漏えいといった事象も増えており、企業による個人情報の取り扱いは、顧客企業や消費者による関心が特に高まっているテーマとなっています。
一度個人情報の漏えいや不適正な取り扱いが発覚すれば、社会的な信用の低下は免れないほか、個人情報保護委員会による勧告命令(個人情報保護法148条)、次いで1年以下の懲役又は100万円以下の罰金(同法178条)等が適用される可能性も考えられます。
Pマークの付与を受けることで、第三者機関が、厳格な基準に基づいて、そのような基準に適合した個人情報の取り扱いがなされていることを認証します。そのため、個人情報の取り扱いに関して、顧客や消費者からの信用を確保し、取引を円滑に進めることに繋がるほか、問題が発生することを未然に防ぐことにも繋がり、そのような意味で有用な制度と考えられます。
プライバシーマークの申請方法
Pマークの付与申請は、原則として国内に活動拠点を持つ民間事業者が、法人単位で可能です。そのうえで少なくとも以下の条件を満たしている必要があります。
- 「個人情報保護マネジメントシステム—要求事項(JIS Q 15001)」に基づいた「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」(以下「構築・運用指針」といいます。)に即し、個人情報保護マネジメントシステム(PMS)を定めていること。
- PMSに基づき実施可能な体制が整備されて個人情報の適切な取扱いが行なわれていること。
- PMSの運営体制として、社会保険・労働保険に加入した正社員、または登記上の役員(監査役を除く)の従業者が2名以上いること
個人情報保護マネジメントシステム(PMS)は、以下の手順で構築し、運用することが想定されています。
その他Pマークの申請関連情報は、JIPTECのウェブサイトをご参照ください。
ステップ2:個人情報保護の目標を定める
ステップ3:保護の対象となる個人情報を特定する
ステップ4:法令、国が定める指針その他の規範を特定する
ステップ5:個人情報保護リスクを認識し特定する
ステップ6:個人情報保護リスクを分析し対応を検討する
ステップ7:個人情報保護リスク対応計画を策定する
ステップ8:計画を具体化する(文書化し、システムを構築する)
プライバシーマーク取得後の運用
Pマーク取得後も、申請時に構築されているPMSを適切に運用することが求められており、構築・運用指針にも継続的に留意する必要があります。
なお、中規模事業者が新規で申請した場合、Pマークの有効期間は、2年間とされており、更新申請は、有効期間の終了する8か月前から4か月前までの間に行わなければならないものとされています。更新申請時には、PMSの運用に基づき抽出されたリスク分析結果等の提出も求められますので、このような観点からもPMSの適切な運用が肝要です。
まとめ
以上のとおり、昨今の社会情勢を踏まえると、個人情報保護法の遵守や情報リテラシーの確保は、規模を問わず、企業にとって重要な課題となりますので、顧客や消費者からの信用を確保するとともに、問題の発生を未然に防ぐ観点から、プライバシーマークの取得についてご検討いただくのが宜しいかと考えます。
※この記事は、2024年8月8日に作成されました。