このブログを読んでいただきありがとうございます!皆さんこんにちは!ISO絶賛勉強中の三浦と申します。
引き続き見ていただいた方!いつもありがとうございます!
今回はPマーク(プライバシーマーク)についてお話していこうかと思います!これからも記事を通して、ISOなどのマネジメントシステム周りの基礎知識を皆様と一緒に学んだり、それらにまつわる情報発信を行っていければと思いますので、ときどき覗きに来てくださいね!
さて、お天気が続いて散歩日和の日々ですが、皆様いかがお過ごしでしょうか?弊社の近くには由緒正しき赤城神社がありまして、通勤で毎日鳥居の前を通るのですが、出勤せずこのまま参拝してから神楽坂散策へ行きたいなぁ…と思いにふける今日この頃です。笑
七五三の時期ですね。境内にお祝いムードがあふれていて、なんだかこちらまで嬉しくなってしまいます。
ぼやっとそんなことを考えているせいか、先日「今年も残すところ50日を切りました」というニュースを聞いたときは耳を疑いまして、そんなバカなと数えてみたら本当に50日も無く衝撃を受けました…当然のことなのですが、常に意識していないと気づかないうちに色んなことが起こっていて、心の準備が出来ていないことはよくありますよね。
心の準備と言いますと、ある日突然いつも使っているアマゾンや楽天などのECサイトからパスワードの再設定を求めるメールが届き、流されるまま設定を進めてしまうと個人情報を抜き取られてしまうというフィッシング詐欺が流行しました。
実は私もこの手のメールを受け取ったことがあるのですが、返信の直前に相手のアドレスを確認すると、まったくそのサイトと関係のないアドレスだったのでギリギリのところで返信を取り止めた経験があります。
このように騙す前提に対しては、こちらが知識を付けるなどの心の準備をしておけばなんとか対抗はできますよね。ただ、そもそもそんなメールがきたり、電話がかかってきたり…自分の個人情報が漏れてる気がするのはなんで!?と感じた方、もしかしたらPマーク(プライバシーマーク)の認証のない会社に一度個人情報を預けてしまったことがあるのかも知れません。
Pマーク(プライバシーマーク)って簡単に言うとどんなもの?
このPマークもISOシリーズのように第三者機関が審査・認証しており、その機関がJIPDEC(一般財団法人日本情報経済社会推進協会)という日本国内の団体です。
察しのいい方はお気づきでしょうが、Pマーク(プライバシーマーク)とは簡単に説明すると個人情報の保護をキチンと行っている事業者に認証される、いわば個人情報を取り扱っても問題がない、情報の漏洩の危険性が低いと認められた証です。
Pマーク(プライバシーマーク)の付与の条件としては、国内に活動拠点を持つ事業者である必要があります。また、一部例外を除いて法人単位の取得になりますので、「個人情報を取り扱っている営業部だけPマークが欲しい」のようなことはできません。そして具体的には以下のようなことが認められた事業者がPマークの付与対象になります。
- JIS Q 15001「個人情報保護マネジメントシステム-要求事項(注2)」に基づいた個人情報保護マネジメントシステム(以下「PMS」(※)という。)を定めていること。
※PMS:Personal information protection Management System- PMSに基づき実施可能な体制が整備されて個人情報の適切な取扱いが行われていること。
- 「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」に定める次の欠格事項のいずれかに該当しない事業者であること。
プライバシーマーク制度における欠格事項及び判断基準(PMK510)(運営要領ページへ)
- 申請の日前3か月以内にプライバシーマーク付与適格性審査の申請又は再審査の請求についてプライバシーマーク付与を否とする決定を受けた事業者
- 申請の日前1年以内にプライバシーマーク付与の取消し又はプライバシーマーク付与契約の解除を受けた事業者
- 個人情報の取扱いにおいて発生した個人情報の外部への漏えいその他本人の権利利益の侵害により、申請を不可とする期間を経過していない事業者
- 役員(法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を含む。)のうちに、次のいずれかに該当する者がある事業者
- a. 禁錮以上の刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から2年を経過しない者
- b. 個人情報の保護に関する法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から2年を経過しない者
- c. 適格条件を満たさないインターネット異性紹介事業者(詳細は上記基準(PMK510)を参照のこと。)
なお、上記の3.に該当するか否かについては、事業者自身による申請書での宣誓と、現地審査時に確認します。
(以下略)
難しそうな内容ではありますが、とても簡単にとらえると、
- 決められた規格(JIS Q 15001)に沿ってルールが社内で設定されているか
- 設定されたルールを守る教育が行き渡っており、キチンと運用されているか
- 直近でそのルールを破ったことが無いか
ということであり、規格の理解と決めたルールの徹底さえしていれば取得できるものとなっています。
ちなみに付与されても有効期限(2年)が存在し、2年間ごとに更新が必要になります。
Pマーク(プライバシーマーク)がある企業はどんなことをやっている?
ここまでで、Pマーク(プライバシーマーク)は個人情報の取り扱いをしっかり行っている企業に付与されることが簡単にわかったかと思いますが、その企業が具体的にどのように個人情報保護に努めているのでしょうか。
こちらもJIPDECのホームページに分かりやすい表がありましたので引用させていただきます。
個人情報を取得する際には、その利用目的および第三者に提供するかどうかなどの必要な事項をはっきりとあなたに通知します。 明示された内容(利用目的および第三者への提供など)について、あなたの同意がなければ個人情報は取得しません。 取得したときに、あなたと交わした約束通りに個人情報を利用します。 取得したときに交わした約束と異なる取り扱いをする場合は、事前に改めてあなたにはっきりと通知し、同意を取り直します。 あなたから、取得して管理している個人情報の開示、訂正、削除、利用停止などの求めがあれば、それぞれの手続きの要件に基づき対応します。 取得した個人情報を安全かつ正確に管理します。 個人情報の取り扱いの全部または一部を他社に委託して行う場合は、わが社と同等の個人情報保護体制ができている事業者を選びます。また、委託している間は、適正に管理と監督を行います。 他社から個人情報の提供を受ける場合には、適正に取得したものであるかをあらかじめ確認します。 あなたからの問い合わせや苦情などに迅速に対応します。 以上のような内容を含む『個人情報保護方針(プライバシーポリシー)』や『個人情報の取り扱いについて』などをホームページなどで公表します。
こちらでは、「あなた」という表現をあえて使っているとのことです。企業と個人の力を比べると、どうしても個人の比重が軽くなりがちですが、Pマーク(プライバシーマーク)を所得する企業は個人の訴えに向き合う姿勢が厳しく求められているのです。
ISOとは何が違うの?
Pマーク(プライバシーマーク)に興味がある方は、もしかしたらISO27001という規格もご存じかもしれません。同じ情報セキュリティの領域なので、混同してしまいがちなこの二つですが、決定的に違う点がいくつかあるのでこの機会に覚えておくと取得の検討の際に便利です。
- Pマークは国内のみ適用する規格
⇒対してISOは国際規格です。海外との取引がメインの企業はPマークはあまり向いていないとも言えます。 - あくまでも個人情報保護が対象
⇒個人情報以外の情報資産(未発表の新製品情報など)のセキュリティも含める場合はISO27001の取得を目指すといいでしょう。 - 明確なルールや手順が定まっている
⇒全ての企業が同じルールに従って運用するのがPマークなので、新しく社内ルールを自力で作るくらいなら認証を目指したほうが楽です。また、ISO27001はマネジメントシステムの運用が主となるので、各企業ごとにルールが違ってきます。 - 適用は法人単位である(一部例外を除く)
⇒上記でも少し触れましたが、基本的に認証を受ける団体すべてがルールを運用しなくてはならず、ある一部の部署のみの認証はできません。ただし、学校や病院といった特殊な事例の場合は認められることもあります。ISO27001はセキュリティ部門のみの認証を受けるといったことも可能です。 - 取得からの更新・審査は2年おき
⇒こちらも少し触れましたが、ISO27001は3年ごとの更新と毎年の審査が必要です。
いかがだったでしょうか?Pマーク(プライバシーマーク)は個人情報の漏洩を100%阻止することを保証するわけではないですが、安心して情報を預けてもいい企業を見つける指針になります。すこしでも信頼できる企業を目指すのにはうってつけのマークということだけでも覚えていただけたら幸いです。
「もしかしたらISO27001よりPマークの方がうちは向いてるかも?」「そろそろ更新のこと考えないとな…」と思った方はこちらまで!
今後もISOなどについてブログで発信していきますので、また見に来てくださいね!
