個人情報を適切に取り扱っている企業を公的機関が認定する制度。個人情報を適切に扱う社内体制を整備していると認められた企業だけがマークを使用できる。
2005年に個人情報保護法が施行されてから3年が経過しました。個人情報を記入する申込書やウェブサイトに、情報の利用範囲を明示することが義務付けられるなど企業には厳しい情報管理が求められています。同時に、消費者や取引先に対して、個人情報を適切に扱える社内体制を構築しているかどうか証明する手段の必要性も高まりました。その1つが「プライバシーマーク制度」です。
日本情報処理開発協会(JIPDEC)が1998年から運営し、個人情報を適切に扱っていると認められた企業だけが名刺や店頭などにマークを使用できます。これまでに1万社近く(2008年6月末現在9593社)が取得しています。個人情報を扱う企業にとっては必須の資格となりつつあります。
効果◆管理体制を審査
プライバシーマーク制度は、日本工業規格「JIS Q 15001」に準拠した社内体制を整備しているかどうかを認定するものです。品質や環境といったほかのJIS規格マネジメントシステムと同様に情報管理のPDCA(計画・実行・検証・見直し)を回せるかどうかを重視しています。つまり、個人情報保護方針や管理ルールを決め、ルールを守って日常業務をこなし、順守状況を定期的に内部監査して管理ルールや教育などを改善しているのかといったことです。2年に1回の更新時に第三者機関が、社内の情報管理体制を審査して認定の信頼性を担保しています。
ただし、実際には認定事業者にもかかわらず流出事故を起こす例が相次いでいます。
動向◆大規模流出事件受け規定を強化
2007年3月に大日本印刷から約830万件もの個人情報が流出した際に、JIPDECは認定を取り消さず改善を要請するにとどめたため、その対応を疑問視する声が相次ぎました。
JIPDECは同年3月27日に制度の信頼確保に向け制度の改革を検討するとの声明を発表しました。その後、流出事故を起こした事業者には改善措置の実行状況を確認することや、特に大企業については現地の更新審査を従来の1日から数日がかりに強化するといった対応策を打ち出して実施しています。
一方で、民間企業からは、より包括的かつ厳密に企業内の情報全般のセキュリティー管理レベルを証明する仕組みを求める声が出ています。例えば2008年4月、松下電器産業やソニーなど民間企業30社は情報セキュリティーの水準に関する格付け専門会社を設立しました。民間独自のやり方で管理レベルを証明しようとする動きが盛んになっていくにつれ、プライバシーマーク制度の存在意義は低下していく可能性もあります。
