|
プライバシーマーク制定の経緯
 今、プライバシーマークが注目を集めている。
㈶日本情報処理開発協会(JIPDEC)のホームページによると、平19年5月11日現在、付与が認定されている企業は7,504社となっている。
その中で "ソフトウェアの開発・運用・保守に関連する企業"が含まれる「情報サービス・調査業」に属する企業は2,966社を占めている。
ちなみにマネジメントシステムに関連する認証としてはISMS(ISO- 27001)、ISO-9001 と 14001があるが、それらの認証件数は、ISMSは2007年4月24日までで2,140事業者、また、㈶日本適合性認定協会(JAB)のホームページに公表された2007年4月10日のデータによれば、ISO-9001は適合組織の総数が54,904で、その内、情報技術は1,503組織、また、ISO-14001は適合組織総数26,750で、その内、情報技術は457組織となっている。
ISOにおける産業分類とプライバシーマークにおける産業分類は若干異なっており、一概に論ずることはできないが、所謂"ソフトウェアの開発・運用・保守"に係わる企業は、ISMS、ISO-9001や14001以上にプライバシーマークに関心を持っていることが伺える。
これは、ソフトウェアの開発・運用・保守に係わる企業は情報の保護への意識が高いと考えれば喜ばしいことであるが、その背景を考えると、個人情報や機密情報の漏えい等の事故が多発している中で、IT関連の企業は多くの個人情報や機密情報を取扱っていたり、また間接的にでも触れる機会が多く、その際に漏えい等の事故に巻き込まれたり、その当事者になり得る可能性があること、また、特に個人情報の保護に関しては、日本の一般消費者も不安を感じており、企業が個人情報保護への取り組みを適確に行うことに対する社会的な要請が強いこと、また、発生している個人情報の漏えい事故の状況を見て、企業の経営者は漏えい等の事故を起した場合は企業の存続までが危ぶまれる事態に陥る可能性が有り、何らかの対策を取る必要性に迫られていると感じていることがある。
プライバシーマークは、個人の権利保護のシステムであるが、マネジメントシステムでもあり、またその中には、個人情報に対する安全管理の実施を求めていることから、その運用を工夫すれば、個人情報だけでなく、企業の保有する機密情報の保護にも適用することができるものである。
まずは、プライバシーマークの概要とその背景から述べる。
|
(JIPDECホームページより)
プライバシーマーク制度は、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合して、個人情報について適切な保護処置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。
プライバシーマーク制度は、事業者が個人情報の取扱いを適切に行う体制等を整備していることを認定し、その証として"プライバシーマーク"の使用を認める制度で、次の目的を持っています。
・消費者の目に見えるプライバシーマークで示すことによって、個人情報の保護に関する消費者の意識の向上を図ること
・適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりにこたえ、社会的な信用を得るためのインセンティブを事業者に与えること
|
㈶日本情報処理開発協会(JIPDEC)の個人情報の保護に向けての取組みは、1988年(昭63)にJIPDECが策定した「民間部門における個人情報保護のためのガイドライン」(翌1989年(平成元)通商産業省のガイドラインとして告示)に遡るが、プライバシーマーク(P-マーク)としては、通商産業省が1997年(平9)3月に、先のガイドラインを改訂し、「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」として告示したことを切っ掛けとしている。
プライバシーマーク(Pマーク)制度としては、翌1998年(平10)3月25日に、この通商産業省のガイドラインの普及を図るため、「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」に基づいた個人情報の管理体制を構築する企 業等を認定する制度として創設し、4月1日より運用を開始した。
翌1999年(平11)3月20日には、「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」を基に、日本工業規格(JIS)「個人情報保護に関するコンプライアンス・プログラムの要求事項(JIS Q 15001:1999)」が制定されたので、Pマークの認証基準もJISに変更された。
そ の後、2003年(平15)5月30日に「個人情報の保護に関する法律」(個人情報保護法)が公布され、2005年(平17)4月1日に全面施行されたことを受け、「個人情報保護に関するコンプライアンス・プログラムの要求事項(JIS Q 15001:1999)」に「個人情報保護法」を取り入れることを主な目的としてJISの改定が行われ、2006年(平18)5月20日に新たなJIS Q 15001:2006「個人情報保護マネジメントシステム-要求事項」として発行された。
Pマークの認証基準も6ヶ月の移行期間をもって変更されることになり、現在は「個人情報保護マネジメントシステム-要求事項(JIS Q 15001:2006)」をPマークの認証基準として運用されている。
また、JISの2006年版への改定の主な理由は「個人情報保護法」を取り入れることであったが、従来の1999年版のJIS Q 15001にはマネジメントシステムとしての要素も含まれてはいたものの、表題からして、コンプライアンスプログラムという位置づけが強かったが、2006年版では表題も「個人情報保護マネジメントシステム-要求事項」と改定し、マネジメントシステムとしての位置づけを明確にし、ISMS(ISO-27001)、ISO-9001や14001と同じようにマネジメントシステムを作成する場合のISO Guide 72の規約に従って作成されており、マネジメントシステムとして、ISMS(ISO-27001)、ISO-9001や14001との整合を取った形としており、企業におけるマネジメントシステムとして1本化(統合化)を図ることができる構造となっている。
企業におけるマネジメントシステム(経営管理システム)は経営という観点からは一つであり、そのマネジメントシステムにおいて、個人情報の保護、情報資産の保護、品質、環境というように、どの点に主眼を置いて見て行くかの違いはあるが、それらは相互に関連する部分を持っていることを考えて、システムの構築や運用を行ってゆくのが良い。
(中小企業診断士 中村 隆昭)
|
