個人情報を適切に取り扱っている企業を公的機関が認定する制度。厳格な標準規格に基づいた社内体制を整備していると認められた企業だけが、マークを使用できる。
通信やコンビニなど様々な業界で、個人情報漏えい事件が続発しています。漏れた情報を利用しているとみられる不気味な「架空請求」も相次ぎ、情報管理を徹底している企業にしか自分の情報を提供したくないと思う消費者は多いはずです。
しかし、一流企業でも漏えい事件は多発しており、どの企業を信用すればいいのか見当が付きません。よりどころとなる認定制度として有力なのが「プライバシーマーク制度」。日本情報処理開発協会(JIPDEC)が1998年から運営しており、個人情報を適切に扱っていると認められた企業だけが、マークをホームページや名刺などに掲げることができます。
取得する企業は、「JIS Q 15001」という標準規格に準拠した社内体制を整備する必要があります。この規格は、ISO14001などと共通する「PDCA(計画-実施-監査-見直し)」の原則に基づいています。
◆効果
第三者認定で安心感
具体的には、まず、個人情報の適切な収集などについて述べた「個人情報保護方針」を定める必要があります。「計画」段階では、自社が保有するすべての個人情報を特定する手順を確立することなどが必要。「実施」については、個人情報の収集時に本人に目的を通知して同意を得ることなどを細かく定め、不正アクセス防止などの義務も規定しています。
JISの内容は、来年4月に全面施行される「個人情報保護法」より厳しくなっています。例えば、JISでは「思想・信条」といった「機微な」個人情報の収集を原則禁止していますが、保護法にこうした規定はありません。
体制を整えた企業は、JIPDECの現地調査を受け、合格すればプライバシーマークを取得できます。厳しい規定に従っていることを第三者が認定した事実は、消費者や取引先に安心感を与えるでしょう。取得料金自体は16万~63万円ですが、これ以外に、体制整備や情報セキュリティー確保などに相当な手間と費用がかかります。
◆事例
製造業にも広がる
プライバシーマーク認定企業は790社(今年6月7日時点)。うち、顧客企業から預かった個人情報の厳重な扱いが求められる「情報サービス・調査業」(503社)が過半を占めます。キヤノンや資生堂、東芝といったほかの業種の企業でも取得が増えつつあります。
プライバシーマークは全社取得が原則です。東芝は、重電からネットまで幅広い事業部門でそれぞれの事情に応じた規則を整備。各部門に分散する顧客情報データベースについては、目的や内容を全社一律で把握する台帳を作る体制を築いています。
