個人情報保護法が制定され,プライバシーの保護に注目が集まっている。自社の対策を客観的に評価するために,プライバシー保護対策を認証する外部機関の利用ユーザーも増えている。外部機関による認証サービスの特性と,サービスの違いはどこにあるのか。
プライバシー保護に関する主な認証サービスには「プライバシーマーク」と「TRUSTe」がある。このほか,よく似た認証制度に「ISMS(情報セキュリティマネジメントシステム適合性評価制度)」がある。ただしISMSは情報システムに存在するリスクをマネジメントする仕組みに焦点を当てており,そのリスクの1つとしてプライバシー侵害がある。ISMSは情報システムのセキュリティ全般をターゲットにしていることから,ここではプライバシー保護に焦点を当てたプライバシーマークとTRUSTeに絞って解説する。
プライバシーマークとTRUSTeはどちらも個人情報の保護を目的としているが,適用範囲や認証基準,運営方法などに違いがある。プライバシーマークは国内の制度。審査を受けることで,JIS(日本工業規格)の定める一定レベルに到達しているかどうかを,認証機関の独自の基準で判断される。
一方のTRUSTeは,Webに特化した認証サービスで,国内だけでなく米国などでも実施されている。インターネット上でサービスを提供している企業での認知度は高く,国内だけでないことが評価されている。ただ,TRUSTeの基本方針は自己申告に基づいて規定に準拠しているかどうかを認定する制度であり,国内での有効性を疑問視する向きもある。
こうしたプライバシー保護の認証サービスは,個人情報保護のための対策が一定の基準を満たしているかを認定するものである。認定を受けていても,個人情報の漏えいが起きないことを保証するわけではない。また,プライバシーマークでは個人情報保護対策が適切に実施されていなければ,認定が取り消され,そのことが公表される。外部機関の認証サービスは客観的な評価を受けられる半面,取得にはリスクが伴うことを知っておきたい。
JISに基づいた審査
 |
| 写真1●プライバシーマークのシンボル |
プライバシーマーク制度は,財団法人 日本情報処理開発協会(JIPDEC)が実施している。1998年4月から制度を開始し,すでにこれまでの累計で563社が認証を受けた。2002年の1年間で172社が認証を受けるなど,急速に注目度が上がっている。
プライバシーマークの認定を受けるには,JIPDECなどが実施する審査を受け,合格しなければらない。その際の基準となるのが,「JIS Q 15001」という日本工業規格が定めた規格である。認定を受けたい企業は,個人情報を取り扱うルールや情報システム上の仕組みなどを規定した「コンプライアンス・プログラム」を作成し,それをJIS Q 15001に準拠させなければならない。認定を受けるための審査では,コンプライアンス・プログラムの内容と,その稼働実績などが評価される。
審査を受けてから,「結果を出すまでに3カ月から3カ月半かかる。また,多くの場合,(審査で)改善すべき点が出てくる」(日本情報処理開発協会 プライバシーマーク推進本部次長 プライバシーマーク事務局 事務局長の関本貢氏)。審査で指摘された項目を改善し,それが確認されると,認定を受けることができる。認定を受けた企業は2年間,ホームページなどでプライバシーマークのシンボル(写真1)を使うことができる。必要な料金は事業者の規模で異なり,JIPDECが定める大規模事業者の場合,ライセンス料が2年間で20万円,申請手数料と現地調査料が合わせて40万円である。
自己申告に基づいた審査
一方のTRUSTe制度は,特定非営利活動法人(NPO)日本技術者連盟が国内で実施している。米国で1996年に始まった制度で,これまでに約2000サイト,国内では約180サイトが認定を受けている。「(個人情報保護に関する)法律が検討されたころから,問い合わせが急増した」(日本技術者連盟 高橋彰彦氏)。
TRUSTeの認定を受けるには,まずTRUSTeが規定する自己査定書に記述しなければならない。自己査定書には,Webを介して収集する個人情報のデータ項目や,収集方法,個人情報の使い方,第3者への委託の有無,セキュリティに関する対策などを記述する。審査では自己査定書の内容が適切であるかどうかなどが判断される。
 |
| 写真2●TRUSTeのシンボル |
認定を受けた企業は1年間,ホームページなどでTRUSTeのシンボル(写真2)を使うことができる。TRUSTeのライセンス料は年間の総売上高によって変わり,例えば総売上高が10億円から25億円の企業の場合18万円/年。審査料は別途必要である。
TRUSTeの特徴は,認証後のチェック体制と苦情処理の方法にある。TRUSTeの実施母体である日本技術者連盟は,ライセンスを提供した企業のサイトを3カ月に1回チェックしている。「疑い深い利用者の視点で,個人データの収集などが適切に行われているかどうかを判断している」(日本技術者連盟 高橋氏)。個人データが適切に取り扱われていなければ改善を要求し,ライセンスを受けたサイトの状況を継続的にチェックする。
TRUSTeのライセンスを受けたサイトの利用者は,そのサイトでの個人情報の取り扱いに不信を感じた場合,TRUSTeの実施母体である日本技術者連盟に苦情を言うことができる。苦情の受付窓口を「Watchdog」と呼び,Webサイトなどで受け付けている。利用しているサイト以外に苦情を受け付ける窓口があれば,利用者から信頼されやすいとの判断である。
