個人情報保護基本法の大綱がまとまり,2001年には法律が制定される見通しである。個人情報の取り扱いには,今後,一層の注意が必要になる。そこで注目されているのが,「プライバシーマーク」(Pマーク)である。Pマークは,それを取得してECサイトに掲げることよりも,取得するための体制作りに大きな意味がある。単に“お題目”を唱えるだけでは審査は通らない。運用体制の整備はもちろん,就業規則やセキュリティ・ポリシーなどの見直しも不可欠になる。 

(小松原 健=komatsub@nikkeibp.co.jp)

表1●個人情報保護に関係するおもな認定制度
JISAの資料をベースに作成

 プライバシーマーク(Pマーク)取得のためのコンサルタントを手がけるオーエスケイは「問い合わせや依頼が増えている」(オーエスケイ 販売促進部取締役の佐藤 憲一氏)という。企業や団体が開催するPマーク取得のためのセミナーも盛況を博しているという。Pマークとは,日本情報処理開発協会(JIPDEC)が中心となって創設した「個人情報の取り扱いが適正であるか」を認定する制度である。

 顧客などの個人情報が外部に漏れるなどの事件が頻発し,ユーザーは神経質になっている。このため,Webサイトにその取り扱いについて宣言したプライバシ・ポリシーを掲げる企業が多くなっている。

 しかし,単にポリシーを掲げただけでは,絵に書いたモチになりかねない。全社員の意識はもちろん,業務の進め方や管理体制,アクセス制御などのシステムとさまざまな要件を満たしてこそ,ポリシーを順守できる。そして,それを世の中にアピールしたい。そのために,個人情報保護に関連した認定制度はいくつかある(表1[拡大表示])。そのなかで,個人情報保護を中心に据えた認定制度がPマークなのである。

個人情報の管理体制の整備が急務

 2000年10月に個人情報保護基本法の大綱が決定,2001年の通常国会に提出される見通しである。個人情報の適正な取り扱いが法的に義務付けられる。国際的にはすでに個人情報保護の制度が設けられており,OECD(経済協力開発機構)ガイドラインEU(欧州連合)個人情報保護指令などがある。これらはいずれも,基本的な考え方は同じである。利用する目的をユーザーに明らかにして個人情報を収集し,その範囲内でのみ個人情報を活用しなければならない。また,漏えいや改ざんなどを防ぐため,社内外の管理責任も問われる。

 Pマークも基本は同じで,個人情報の適正な取り扱いに関するポリシーを定め,それを順守する体制作りを規定する。それが「個人情報保護に関するコンプライアンス・プログラムの要求事項」(JIS Q 15001)である。Pマーク制度は,JIPDECをはじめ,情報サービス産業協会(JISA)など業界団体が集まり,98年4月に創設された。Pマークの付与はJIPDECの役割であるが,審査・認定はJISAや日本マーケティング・リサーチ協会,全国学習塾協会といった指定機関も実施する。

就業規則から見直す必要が

 Pマークを取得するためには,就業規則まで見直す必要が出てくる(図1[拡大表示])。社内の憲法ともいえる就業規則に基本となるルールや罰則などを記述し,それをベースにセキュリティ・ポリシーおよびプライバシ・ポリシーを定めていく。個人情報の管理といっても,実際には社内にあるさまざまな情報と関連していることが多い。上位概念として情報管理のポリシーを定めておかないと,運用上混乱する恐れもある。そのうえで個々の業務や部署に合わせて,運用マニュアルを作成する。

図1●プライバシーマークを取得するには就業規則などの見直しも必要
就業規則やセキュリティ・ポリシーを見直し,システムの変更や実際の業務に即したマニュアルの作成や社員教育が不可欠である。

 2000年7月にPマークを取得したニフティでは「準備を始めてから取得までに約1年間を要した」(企画・CS統括部 法務・海外部部長代理の丸橋 透氏)という。各部署から担当者を集めてワーキング・グループを作った。部署や業務ごとに,いろいろな個人情報を管理しており,その取り扱いも異なっているからである。“この帳票はだれがアクセス可能であり,責任者はだれか”ということまで1つひとつ詰めていった。その結果,約100ページに及ぶ個人情報の取り扱いに関するマニュアルを作成した。アクセス権限のある社員や外部業者とは,覚書を交わした。

 それに伴い,セキュリティ関連のシステム変更が必要になる場合もある。実際,ニフティではシステムを変更した。もちろん,同社では従来から個人情報などに対するアクセスを制限してきた。しかし,ポリシーを整理すると,より細かなアクセス制御が必要になった。不正侵入対策も不可欠である。たとえばオーエスケイでは「侵入検知ツールで不正アクセスを監視し,週1回ログをチェックする」(佐藤氏)体制を敷いている。

リスク管理としての意味も

 Pマークは,11月末に米Better Business Bureau(BBB)の「BBB ONLINE」との相互認証制度を開始する。PマークかBBB ONLINEのいずれかの認証を受ければ,両方のマークを利用できるという制度である。日米のユーザーに,個人情報管理体制をアピールできる。とはいえ,今のところ,Pマークの認知度は高いとはいえない。マークが一般の消費者にどれほど効果があるのか疑問である。

 ただ,Pマーク取得によって,個人情報の管理体制が整備されることに注目したい。立派なプライバシ・ポリシーをWebサイトに掲げていても,事故が起こったときに調査したら,管理体制がずさんだったのでは企業にとって大きなマイナスとなる。Pマークを取得できる体制があれば,事故が発生したとしても,その原因などが容易に把握,対処できる。Pマーク取得は「リスク管理体制の整備という側面もある」(JISA 調査企画部調査役の鈴木 正朝氏)。