■経営お役立ち情報 ビジネスヒント情報――――――――――――――――――■
2010年11月 「プライバシーマーク認定の取得について」
中小企業診断士 椎木 忠行
メールはtd-siiki@periodique-jp.comまで願います。
■―――――――――――――――――――――― NPOみなと経営支援協会−■
個人情報保護法が2005年4月1日より施行されて以来、個人情報に対する関心はますます高まっていますが、反面、個人情報の漏えい事件は後を絶ちません。
先日も、某大学において、極秘レベルと思われる個人情報が流出して世間を驚かせました。
今回は、個人情報保護よりも、さらに一段と厳しいといわれるプライバシーマークの認定取得について述べたいと思います。
1.プライバシーマークの認定制度とは
プライバシーマーク制度が発足してから、10年以上経ち、すでに御存知の方も多いと思いますが、念のため述べたいと思います。
プライバシーマークの認定制度とは、個人情報保護法の規定を包含する日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に基づいて(財)日本情報処理開発協会(JIPDEC)等の第三者認定機関が客観的に個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、プライバシーマークの使用を認める制度評価する制度です。
認定への関心は高く、に認証事業者数は11,8112社(平成22年11月23日現在)にもなります。尚、ISO27001(ISMS)の認証組織数は3,681社(平成22年11月23日現在)です。
2. プライバシーマークとISO27001(ISMS)の違い
最近、よく訪ねられる質問に「プライバシーマークとISO27001(ISMS)のどちらを取得すればいいのですか」があります。
基本的には、自社の必要度で決めることになります。
たとえば、取引先から認定取得を求められるケースや、自社の個人情報の取り扱いレベル、あるいは、管理策の必要なレベルなどから判断します。
一般的に、プライバシーマークは、個人情報に限定し全社でその運用を図らなければなりませんが、ISO27001(ISMS)は、個人情報を含む情報全般を扱い一部署だけの運用も可能です。
そして、前者が本人の視点から情報を保護するのに対し、後者は企業自身の視点で情報を保護します。ですから、「本人の同意」や「開示等の権利」については、前者は特に強く要求しています。この特徴が必要な場合はプライバシーマークを選択することになります。
また、前者は主にJIPDECの定めるガイドラインに沿い管理策等を策定しますが、後者はISO27001に沿い前者ほどには限定的に管理策を策定する必要はなく、むしろ自社の状況に沿った自由度の高い管理策を構築できるメリットがあります。ただし、後者は前者よりも、より深く、広範囲の管理策を必要としています。
プライバシーマークとISO27001(ISMS)を同時取得している企業を、時々見受けられますが、最近はどちらかに絞り始めているように思われます。
3.プライバシーマークの新規認定取得のポイント
自社だけで各規程類や記録類を作成するのか、外部のテンプレート(見本)などのツールを使用するのか、あるいは、コンサルタント等を活用するのかを決める必要があります。
各種ツールを用いて自社内で構築し、多少不安な面をコンサルタントに依頼するのであれば、経済面で有利であり、自社内でもノウハウが蓄積されることになるでしょう。稀に、文書作成も含め全面的にコンサルタント等に依頼するケースが見受けられますが、認定後の運用に対する技量・認識が不足しがちで、2年後の更新審査は厳しい状況であることが予想されます。
やはり、プライバシーマークの運用は、マネジメントシステムであることを理解しておく必要があります。
計画⇒実施・運用⇒点検・内部監査⇒見直しの一連のサイクル通して、自社に適したマネジメントシステムを実現するのですから、主体的に取り組むことが不可欠です。特に体制面はしっかりと初期の段階から整えて、ある程度の時間制約を考慮することが要求されます。
4.更新審査時のポイント
プライバシーマークは初回認定後、2年毎に審査機関での更新審査を受審し、再度プライバシーマークの認定を受けなければなりません。この認定を受けなければ、せっかく取得したプライバシーマークは使用できなくなります。
前回の新規審査時あるいは更新審査時から、事業内容の変化、それに伴い現状取得している個人情報およびそのリスクアセスメントの更新・見直しを十分抑えることが必要です。そして、各記録類等を通じて教育や内部監査、マネジメントレビューなどの一連のマネジメントシステムが規程通りに運用されていることが特に審査の重要な対象となります。
中小企業診断士 椎木 忠行(しいき ただゆき)
メールはtd-siiki@periodique-jp.comまで願います。
■―――――――――――――――――-― NPOみなと経営支援協会−201011―■
