プライバシーマーク取得への第一歩：Pマーク取得への道（1）（2/3 ページ）

[直江とよみ，NECソフト株式会社]

プライバシーマークとは何か？

　プライバシーマークは、財団法人日本情報処理開発協会（JIPDEC）によって運用されている制度です。1998年に当時の通商産業省（現在の経済産業省）の指導の下設立されました。以下は、JIPDECが公開している「プライバシーマーク制度設置及び運営要領（PDF）」からの抜粋です。

（プライバシーマーク制度）

第2条　財団法人日本情報処理開発協会は、日本工業規格「個人情報保護に関するコンプライアンス・プログラムの要求事項 JIS Q 15001」に適合して電子計算機処理に係る個人情報（電子計算機処理の前後におけるマニュアル処理に係る個人情報を含む）の適切な保護のための体制を整備している事業者に対し、その申請に基づき、その旨の認定（プライバシーマーク付与認定）及びその旨の示す特別の表示であるプライバシーマークの付与（プライバシーマーク付与）を行うプライバシーマーク制度を設ける。

　このようにプライバシーマークとは、日本工業規格（JIS）が定めた「個人情報保護に関するコンプライアンス・プログラムの要求事項（JIS Q 15001）」への適合性の評価となります。

　プライバシーマーク制度には「付与機関」と「指定機関」が存在します。付与機関はJIPDECが務め、指定機関の任命やプライバシーマーク付与申請の審査・認定などを担います。指定機関は、事業者からのプライバシーマーク付与申請の受け付け、申請内容の審査・調査・付与認定などを行います。

　JIS Q 15001では、事業者が保有する個人情報を保護するための方針、組織、計画、実施、監査および見直しというマネジメントシステムを構築するための要求事項を規定しています。JIS Q 15001の要求事項は、個人情報保護法よりも厳しいとされており、より高いレベルの仕組みづくりに利用されています。

図1　プライバシーマーク制度

プライバシーマークとISMS

　プライバシーマークを、個人情報を守る安全管理の指標とするならば、企業の情報資産全体を守る安全管理の指標として「ISMS（情報セキュリティマネジメントシステム）」があります。

　プライバシーマーク、ISMSともに大切な情報を守るための管理策を構築した企業を認定するという点では共通しています。しかし、プライバシーマークは個人情報の取得から利用、保管、廃棄など個人情報が企業内で安全に管理されていることを認定するのに対し、ISMSは個人情報に限らず企業内の重要な情報資産に対して安全に保管し、適正なアクセス制御などが行われているかなどを認定します。

　このようにプライバシーマークとISMSでは、守る情報の範囲が異なるという点と、プライバシーマークの取得は原則として事業者単位であり、ISMSは事業単位で取得できる点などが異なっています。企業としてどちらの認定を取得すべきかを検討する必要があります。

図2　プライバシーマークとISMSの違い