|
プライバシーマーク制度とは、(財)日本情報処理開発協会(JIPDEC)が1998年より行っている「個人情報保護に関する事業者認定制度」であり、その旨を示すロゴマーク「プライバシーマーク」を付与します。認定にあたってはJISQ15001に基づいた審査を行い、該当する事業者の事業活動に対して「プライバシーマーク」の使用を認めています。対象となる個人情報は、オンライン/オフラインなどの入手経路を問わず、顧客情報のみに限らず、社員情報や採用情報など、自社で保有するすべての個人情報について適用されます。 |
 |
 |
|
制度は運営要領に従って運営されており、認定を受けた事業者はもちろん、取り消しを受けた事業者名も公表されています。注意・勧告の場合は社名までは公表しない場合もありますが、社会的影響も大きいため、注意・勧告・取消などの措置はかなり慎重に行っています。
プライバシーマーク制度は、日本工業規格(JIS)に基づいて審査をしていますが、事業者認定であり、製品やサービスに対する認証ではないので、「JISマーク」とは異なります。また、制度としても、特定の製品やサービスの信頼性を示すものではないですが、手順の実施状況を確認する上での具体事例として、サンプリングチェックの手法を採用しています(ヒアリングがメイン)。しかし、時間的な制約があるので、個人情報の取り扱い量などの状況を考慮した上でのサンプリングになります。
認定期間は2年であり、2年毎に同様の審査(更新審査)を行っています。2年に1回しか審査を行いませんが、認定後のフェイルセーフ措置として、情報主体(本人)からの苦情に対して、W苦情処理窓口Wを設け、事実を調査し、事と次第によっては、勧告・取消などの措置を取ることもあります。
|
| |
 |
|
| 認定にあたっては、JISQ15001:1999の要求事項に基づいた審査をしており、自社で保有する個人情報の収集(取得)、保管・利用、委託、提供、破棄や情報主体(本人)からの要求(開示、訂正、削除、拒否)に対する対応などの、一連の取り扱いについて適切に行う手順が確立されているかを審査しています。プライバシーマークの申請には、JISQ15001の要求事項に基づいた コンプライアンスプログラム(CP)以外に、追加事項として、日本に登記(本店/支店)された事業者(原則として)、全社的な取り組み、過去2年間においてW欠格事項Wへの非該当、個人情報保護方針の事業者ウェブサイトへの掲示、消費者相談窓口の設置と消費者への明示 、年1回以上の教育と監査の実績が必要です。認定後であってもW取消や勧告W措置があるので、コンプライアンスプログラムの文書化や体制の整備だけではなく、ある程度実施し、実績を積むことが必要です。 |
| |
| |
