■プライバシーマークとは■
プライバシーマークとは、個人情報保護に関して一定の要件を満たした事業者に対し、財団法人日本情報処理開発協会 (JIPDEC) により使用を認められる登録商標(サービスマーク)のこと。Pマークと略して呼ばれることもある。
1998年4月より付与が開始され、取得を認定されれば、このマークを自社のパンフレットやウェブサイトなど公の場で使用することができ、個人情報の安全な取り扱いを社会に対してアピールできるというメリットがある。
ただし、Pマークを取得しているからといって個人情報の安全な取り扱いが行われているとは限らないので注意が必要である。
2007年7月現在において約7,800社以上の事業者がプライバシーマークを取得している。
■プライバシーマーク取得プロセス■
プライバシーマークを取得するためには、まず、JISに基づくマネジメントシステムの要素(JISで要求される必要な事項)を文書化しなければならない。
また、認証を受けるためには、文書を整備するのみでなく、文書化したルールに基づいた運用実績を積んで、マネジメントサイクルとして機能している必要がある。
こうした個人情報保護のための一貫した行動が「個人情報保護マネジメントシステム」(以下「PMS」)であり、文書化されたものを「マネジメントシステム文書」(以下「PMS文書」)と言う。
マネジメントシステムの構築手順は概ね次の通りです。
(1)経営者(経営層)の意思表明
個人情報保護対策は、幾人かの優秀な社員が取り組めば完成するというものではなく、全ての社員がその必要性を認識し、全社で取り組む必要が有る。
また、これまでの業務の進め方にメスを入れたり、場合によっては、就業規則の変更も必要となったりする。
経営者が、個人情報の不適切な取扱が企業の存続にも影響し得ることを認識し、全社をあげて取り組む決意を全社員に向けて表明する。
(2)プロジェクトチーム発足
個人情報を扱う部門のキーマンをメンバーとしたプロジェクトチームを編成。
@個人情報保護管理者(必須)
個人情報保護管理者は個人情報保護の推進の総責任者で、経営者から個人情報保護に関する全権委譲を受け、対外的に責任を果たせる人材が必要である。
A各業務の代表者
実際に個人情報を収集して利用している業務担当部門を代表する者で、業務の流れを把握している必要がある。
B情報システム担当責任者
自社の情報システムの状況を把握できる人材で、情報システム上の個人情報管理やシステム面でのセキュリティーなどの対策に関する責任者。
C教育担当責任者
個人情報保護は、社員全員がその必要性を認識し、必要な知識を持ち合わせておかなければならない。ルールを定めても、それが有効に機能するためには、従業員への教育は不可欠。
D監査責任者(必須)
プロジェクトの推進を客観的に把握するともに、運営段階において定期的な監査を行なう立場の責任者。客観性を担保するため、直接的に同プロジェクトに関わるより、少し距離ある位置に置く事が望ましいだろう。
E専任事務局員
各種情報を収集したり、部門間の調整を図ったり、文書を作成したり等々、様々な作業が必要となる。上記責任者の指示の元で、具体的な作業を行なう人材。
日常業務の傍らで推進しようとしても、必ずと言っていいほど失敗しますので、必須と認識する方がいいかもしれないだろう。
Fコンサルタント
客観性、網羅性、効率性など考えたとき、個人情報保護に関する専門的な知識を持ち合わせた外部コンサルタントの活用が望ましい。
※絶対要件ではないが、JISQ15001を認証基準にしているとは言うものの、審査機関独自の基準に基づく審査が行われるために、審査の実態を知っていないと、相当な労力を要することになると思われるから。
ABCの担当者は、企業の規模や扱う個人情報の量、それぞれの職務内容に応じて兼任することも構わないだろう。
また、それぞれに責任者の元にワーキング・グループを設けて、推進するのも効果的だ。
(3)個人情報の特定
従業員個人が保有するものを含めて、企業内に存在するあらゆる個人情報を洗い出し、その収集目的を再定義し、管理対象とする個人情報を絞り込む。
(4)リスクの分析、リスク応じた対策案の検討
漏洩、紛失、改ざんなどの危険性とそれによって受ける企業の損失(社会的信用の低下、業務停止等の実損等)を把握し、リスクに応じた安全管理方法を検討する。
(5)個人情報保護方針の策定
経営者の宣言文という位置付けのものだが、企業経営における経営方針に相当するもので、PMSの核として全従業員に周知を徹底するとともに、対外的に広く公開するものである。
(6)PMS文書(基本規程、詳細規程、運用マニュアル等)の作成
現状の業務手順を把握した上で、必要な業務改善なども配慮し、規定や運用マニュアルを作成する。
他の法令や規定(個人情報保護法はもとより、各省庁や業界団体が提供するガイドライン等)との関連や、情報システムのセキュリティー技術に関する対応など考慮したとき、コンサルタント会社が提供する雛形を活用することは有効だが、コンサルタント会社に丸投げにしたり、雛形をそのまま適用させようとすると、形は整っても、企業の実情にそぐわない内容となり、実際の運用において様々な障害が発生すること予想されるので、あくまでも参考程度に活用し、自社の実情に沿ったPMS文書を策定する必要がある。
(7)PMS文書に基づく実施体制の再構築
PMS文書に基づいた運用がきちんと遂行される体制を整えるため、組織の改編やセキュリティー上の整備、Webページの対応、場合によっては建築物の改装、入退室認証システムの導入など大掛かりな対応も必要となる。
(8)試行運用
マネジメントシステムは規定類を作って終わりではなく、実際に運用できることが不可欠であり、申請前に、一通り運用して問題のないことを確認しておく必要がある。ここで問題点があれば修正する。
(9)申請
通常、これらの作業を進めるためには、事業所の規模、対象とする個人情報の質と量、プロジェクトチームの稼動状況によっても異なるが、4ヶ月〜半年の期間を見込んでおく必要がある。
Copyright (C) 2007 プライバシーマーク(Pマーク) by TopicNavi All Rights Reserved.
※当サイトのテキスト・画像等すべての転載転用、商用販売を固く禁じます。
Design by.[目覚まし時計のない生活]いしだ☆ゆう