プライバシーマーク制度とは？改正個人情報保護法で何が変わる？

事業者が個人情報について適切に保護していることを認定するものが「プライバシーマーク制度」です。個人情報保護法が改正されたのにともない、同制度の審査基準も変更されました。

そこで、プライバシーマーク制度の概要や個人情報保護法の改正に伴う変更点、審査の手続きなどについて解説します。

弊社のPマーク担当へのインタビュー記事もご用意しております。
ぜひあわせてご覧ください。

プライバシーマーク制度とは

プライバシーマーク制度とは、事業者が構築する「個人情報保護マネジメントシステム（Personal Information Protection Management Systems：略称PMS）（※）」が日本産業規格「JIS Q 15001個人情報保護マネジメントシステム－要求事項」に適合しているかを審査し、合格するとプライバシーマークの使用が認められる制度です。

※「個人情報保護マネジメントシステム（PMS）」は、事業者が業務上取り扱う個人情報を安全に管理・運用するための仕組みです。

プライバシーマークの目的

プライバシーマーク制度の目的は、個人情報の保護に関する消費者の意識を向上させることです。また、個人情報を適切に取り扱っている事業者に対して、社会的な評価を与えることも、プライバシーマークを付与する目的のひとつだといえます。

プライバシーマークを取得するメリット

JIS Q 15001が要求するプライバシー保護は、個人情報保護法よりも厳しいと考えられています。そのため、事業者はプライバシーマークを取得することで、個人情報保護に積極的に取り組んでいることを社外にアピールできるメリットがあります。信用の拡大にもつながります。

個人情報保護法との関係

個人情報保護法は、個人情報の不適切な取り扱いを防ぐために、個人情報取り扱い事業者に対して義務を課す法律です。

個人情報保護法は平成17年（2005年）4月1日に施行され、利用目的の範囲を超えて個人情報を取り扱うことや、本人の同意を取らずに第三者に提供することを原則的に禁止しています。

また令和4年（2022年）4月1日には、改正個人情報保護法が施行されました。

個人情報とプライバシーとの違い

個人情報とプライバシーは、一見似た意味で使われますが、厳密には意味が異なる用語です。

個人情報とは、個人情報保護法によると、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの（他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。）、または個人識別符号が含まれるもの」と定義されています。これに対して、プライバシーは、個人や家庭内の私事や私生活、個人の秘密を指します。また、それらが他人から干渉や侵害を受けない権利に対しても、プライバシーという言葉が使用されます。

個人情報保護法もJIS Q 15001も、事業者が個人情報を適切に取り扱うことを規定した取り決めです。そのため、プライバシーの保護が直接の目的ではありません。

しかし、個人情報の取り扱いが適切にコントロールされることで、結果として消費者である個人のプライバシーも保護されます。

改正個人情報保護法で変更される審査基準

個人情報保護法は、社会情勢の変化を踏まえて3年ごとに改正されます。今回の改正では、データの利活用の観点から「仮名加工情報」について事業者の義務が緩和された一方、本人の権利保護の観点から、6ヵ月以内に消去される「短期保有データ」も「保有個人データ」に含まれるようになったほか、Cookie情報などの「個人関連情報（生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないもの）」を第三者が個人データとして取得する場合には、提供元の事業者は、本人の同意が得られているか等を確認する義務が設けられました。それにともない、事業者に対する罰則も重くなっています。

こうした個人情報保護法の改正に伴い、プライバシーマーク制度も一部変更されました。従来の仕組みだと、PMSがJIS Q 15001に適合しているかどうかを審査機関が判断するものの、何に取り組めばJIS Q 15001に適合するかという具体的な実施内容については明示的ではありませんでした。

しかし2022年4月1日、PMSの確立や実施、維持に必要な組織の状況やPMSが適用される範囲など、具体的な取り組み方を示した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」が公表されました。

＼個人情報管理に関するお悩み、ご相談ください／

プライバシーマークの審査

プライバシーマークを取得するためには、社内でプライバシーマークに関する取り組みを行ったのち、審査機関による審査に合格する必要があります。

審査の流れ

プライバシーマークの審査を受けるためには、申請書類を作成し、審査機関が指定する資料提出方法で申請したのち、申請料を振り込む必要があります。申請書類がすべて揃っていないなどの不備があると、修正に1ヵ月超かかることもあるため注意しましょう。

形式審査

審査資格があるのか、審査書類に不備がないかを確認したのち、事業者の業種や規模を判断します。形式審査の後、申請書類の修正や追加提出が必要かを判断され、申請が受理されると受理した旨と業種・規模について書面にて連絡が伝えられます。

文書審査

事業者が提出したPMSに関する申請書類が、JIS Q 15001の審査基準に適合しているかを審査します。

この際、内部規程がプライバシーマークの適格性審査基準に適合しているか、すべての従業員が従うべき具体的な手順や手段について内部規程に定めているかという2つの観点から審査を実施します。

文書審査で不備があると、現地審査までに改善を依頼されるので注意しましょう。

現地審査

審査員が申請事業所に出向き、PMSに関する申請書類の通りに個人情報を取り扱っているかを審査します。

現地審査では、事業者の代表にインタビューを行ったのち、書類を確認しながらヒアリングを実施します。個人情報を実際に扱っている現場を確認したのち、改善の必要があるかどうか審査の結果を確認・説明する流れが一般的です。

申請書類

プライバシーマークの申請に必要な提出必須の書類は以下です。

1. プライバシーマーク付与適格性審査（更新）申請書
2. 個人情報保護体制
3. 事業者概要
4. 個人情報を取扱う業務の概要
5. すべての事業所の所在地及び業務内容
6. 個人情報保護マネジメントシステム文書の一覧
7. 教育実施サマリー（全ての従業者に実施した教育実施状況）
8. 内部監査・マネジメントレビュー実施サマリー
9. 登記事項証明書（「履歴事項全部証明書」または「現在事項全部証明書」）等申請事業者（法人） の実在を証す公的文書の原本
10. 定款の写し
11. 最新の個人情報保護マネジメントシステム文書一式の写し（【申請様式6新規】に記載の内部規程・様式の全て。なお、様式は未記入で空欄のままの見本。）
12. 個人情報を特定した台帳、いわゆる「個人情報管理台帳」の運用記録（様式ではない）の冒頭1ページの写し
13. 上記12に対応する、いわゆる「リスク分析結果」の写し

申請費用

プライバシーマーク審査にかかる費用は、業態や従業員数、事業規模によって異なります。

PMSで個人情報を適切に管理

「個人情報保護マネジメントシステム（PMS）」とは、個人情報を保護する体制づくりや個人情報の管理・保護などの運用、評価に基づく改善などの仕組みの総称です。

PMSの基本的な仕組みは、PDCAサイクルにならっています。事業者は「個人情報保護方針（プライバシーポリシー）」と呼ばれる個人情報の取り扱いに関する約束を記した書面を作成し、この方針に基づいて個人情報を適切に取り扱う体制を社内に設けます。

作業計画を立案したのち、それに基づいて従業員の教育やPMSの運用、PMSに基づく業務などを実行していきます。そして、運用期間中に内部監査など運用状況を点検・評価したのち、棚卸をした課題を改善します。

まとめ

プライバシーマークは、事業主が個人情報を適切に取り扱っていることを証明するマークです。

改正個人情報保護法の施行に伴い、事業者や従業員らがどのように個人情報を取り扱えばよいのかについての具体的な指針が示され、事業主は審査に合格するような「個人情報保護マネジメントシステム（PMS）」の構築が可能になりました。

しかしながら、JIS Q 15001が定める個人情報の取り扱いは厳しく、PMSの運用や評価、改善までセットで取り組まなければなりません。

P-Pointerは、社内のパソコンやファイルサーバの中から、ファイルの内容や属性情報をもとに保管ルールに違反している個人情報ファイルを検出する「個人情報ファイル検出・管理ソリューション」です。

ファイルの所在をチェックし、自動で移動や削除が可能なため、個人情報ファイルの把握と安全管理に課題をお持ちの企業様に最適なツールです。

どこにどのような情報が保存されているかを事前に把握しておくことで、効果的な情報漏洩対策が図れます。

また、暗号化システムと連携できるため、検出した個人情報ファイルを自動的に暗号化することも可能です。

無料でP-Pointerの資料をダウンロードできますので、ぜひご確認ください。

＼P-Pointerの資料はこちら／


＼自身のPCの個人情報を「無料体験版」でチェック／

​​​​​​​