プライバシーマーク

個人情報の保護体制に対する第三者認証制度
Pマークから転送)

プライバシーマークは、個人情報の保護体制に対する第三者認証制度。個人情報保護体制の基準への適合性を評価し、一般財団法人日本情報経済社会推進協会 (JIPDEC) が使用を許諾する。個人情報の英訳である「Personal Information」の頭文字であるPとIをモチーフとしてデザインされた登録商標は、Pマークと通称されている[1][注釈 1]

概要

編集

1998年4月1日、早期に実現可能で実効性のある個人情報の保護のための方策として通商産業省(現、経済産業省)の指導により、「プライバシーマーク制度」の運用が開始された[2]。個人情報の保護体制を審査し、基準への適合が認められれば、プライバシーマークを自社のパンフレットウェブサイトなどへの表示が可能となる[1]

取得には審査機関による適合認証が必要となるため、プライバシーマークを表示することにより、個人情報の取扱い体制への一定の信頼を得るものと言える[1]個人情報の保護に関する法律では、個人情報を取扱う業務を委託する際には、委託先の適切な監督をすることが定められており[3]、プライバシーマークの取得が、委託先の選定の際の目安として使用されることもある。そのため、2010年代以降、官公庁など公的機関の入札資格にプライバシーマーク(あるいはISMS、ISO 27001)の取得を要件とするものが増えている[4][5]

また、JIPDECはプライバシーマーク取得事業者の申請により、認定個人情報保護団体となるが[注釈 2][7]、他の認定個人情報保護団体への申請や[8]、申請をしないことも可能なため、プライバシーマークは、JIPDECが認定個人情報保護団体であることを示すものではない。

プライバシーマークの表示

編集

基準への適合が認められ、JIPDECとプライバシーマーク付与契約を結んだ事業者は、店頭、説明書、広告、封筒、名刺、ウェブサイト等にプライバシーマークを表示することができる[1]。また、プライバシーマークを表示する際には、取得事業者毎に採番された登録番号を同時に表示しなければならず、マークを単体で使用することはできない[注釈 3]

JIPDECはウェブサイト上にて、付与事業者を公表するほか[注釈 4]、使用許諾を得ずにプライバシーマークを掲示している団体においても、名称や所在地、URLなどが公表される[10]

取得方法

編集

JIPDECでは、JIS規格JIS Q 15001(個人情報保護マネジメントシステム ― 要求事項)に適合した個人情報保護体制を運用可能な状態に構築した後、所定の書類と費用を、JIPDECあるいは後述の指定審査機関へ提出し申請する[11]。なお、申請は病院、学校等の例外を除き、法人単位で行う必要があるため、各地に支店や支所等を構える法人は、それらのすべての支店、支所においても体制を調えておく必要がある[12]

その後、書類審査と申請を行った団体への立ち入り審査が行われる。審査機関から改善指摘を受けた場合、申請した団体は改善の報告を行う[13]。この報告を受け、審査員が改善の確認と審議を行い、審査合格となる。その後、申請を行った団体とJIPDECとの間でプライバシーマーク付与契約を締結する[14]。当該契約締結と付与登録料の入金確認後、事業者名がJIPDECのウェブサイトに掲載される[15]

プライバシーマークを使用できる期間は2年間であり、その後さらに使用を希望する場合は更新のための審査を受け適合する必要がある[16]

取得事業者における情報漏洩問題

編集

2006年におけるプライバシーマーク取得事業者における個人情報の取り扱いにおける事故として、JIPDEC及び他の指定機関が受け付けた報告は、439社、708件に及んだ。内JIPDECが受け付けた事故報告は651件有り、その97%は情報漏洩事故である。漏洩事故の内訳は、個人情報を含む書簡・FAX、メールの誤配による情報漏洩が405件と6割以上を占めている。また、Antinnyなどファイル交換ソフトを使ったことによる漏洩は、28件(4%)であった[17]

中でも、大日本印刷が864万件以上という過去最大(2007年3月時点)の個人情報流出事故を起こしているが、JIPDECは認定取り消しの次に重い処分である「改善要請」を出し、認定を取り消すことがなかった[18]。JIPDECは認定を取り消すよりも、制度の枠内で適切な再発防止策を講じさせるほうが有効であると結論付けているが、Pマーク自体の信頼性にもかかわる事件であり、認定を取り消すべきであると言う批判が相次く事態となった(ただし、当時の制度は、個人情報漏洩だけでは取消処分にはできないものであった)。なお、大日本印刷は当時JIPDECの賛助会員の一員であった(2010年11月現在も継続中)[19]

三菱電機インフォメーションシステムズ2000年から2010年7月まで図書館貸し出しシステムに宮崎県えびの市の図書館利用者2761名を含む約3000名の個人情報を添付した状態でパッケージとして76カ所の図書館に納品し[20]、さらにAnonymous FTPサーバをVPNなどを用いず不用意に設定したため誰でもアクセスできる状態になっていた[21]。しかし、その直後に行われたJISA 平成22年度第7回審査会でペナルティを受けることなくプライバシーマークの認定が更新された[22]。JISAは2011年1月24日付で、同社のプライバシーマーク付与認定を一時停止(2か月)にすると発表した[23]

2014年11月26日、3,504万件の個人情報漏洩を起こした「ベネッセ個人情報流出事件」に対して、ベネッセホールディングスが取得していた「プライバシーマーク認証」を取り消すペナルティを課した[24][25][26][27]

2022年5月24日、中央教育研究所(登録番号:10190760)が 2,930 件以上の顧客クレジットカード情報漏洩の可能性を公表した[28][29][30]。しかし、その後も同社は2022年9月現在までプライバシーマークを掲示し続けている。

その他の付与取消事例

編集

2019年11月14日、「内定辞退率」等の個人情報を本人の同意を得ることなく提供していたとして、個人情報保護委員会より勧告処分を受けていたリクルートホールディングスの子会社であるリクルートキャリアに対し[31]、プライバシーマークの付与取り消し措置を行った[32]

2020年1月10日、熊本県熊本市が委託した個人番号を含む個人情報の取り扱い業務を無断で再委託したとして[33]、個人情報保護委員会より指導を受けていたNEW FEELに対し[34]、プライバシーマークの付与取り消し措置を行った[35]

指定審査機関

編集

JIPDECによって指定された民間事業者団体。申請の受付・審査と付与可否の認定等を行っている。

申請する事業者が下記団体に加入しているか、特定の職種であるか、本社の登記上の所在地によっては、JIPDECではなく、それぞれの団体に対して審査申請する[11]

上記団体の会員企業の場合、加入先団体に申請する。

脚注

編集

注釈

編集
  1. ^ プライバシーマーク、Pマーク、プライバシーマーク制度、Privacymark、PrivacyMark、Privacy Mark、Privacy Mark System、PrivacyMark System、Privacymark SystemはJIPDECが商標として登録している[1]
  2. ^ 認定個人情報保護団体は、個人情報の保護に関する法律(平成十五年法律第五十七号)第四十七条に定められる、対象事業者への個人情報の取扱いに関する苦情の処理等、個人情報の適正な取扱いの確保を目的とする業務を行う法人[6]
  3. ^ 8桁の登録番号もしくは8桁に2桁の付与回数を示す番号を追加した10桁の登録番号のいずれかの表示が必要[9]
  4. ^ JIPDECのプライバシーマーク付与事業者検索にて登録番号及び更新回数、有効期限を調べることができる。

出典

編集
  1. ^ a b c d e プライバシーマークの表示について”. 一般財団法人日本情報経済社会推進協会 (JIPDEC). 2020年11月5日閲覧。
  2. ^ 概要と目的”. 一般財団法人日本情報経済社会推進協会 (JIPDEC). 2020年11月5日閲覧。
  3. ^ 個人情報の保護に関する法律(平成十五年法律第五十七号)”. e-GOV法令検索 (2018年7月27日). 2020年11月5日閲覧。
  4. ^ 東北総合通信局長 富永昌彦. “一般競争入札公告 平成25年度 東北総合通信局労働者派遣によるオフィスワーク” (PDF). 総務省. 2020年11月27日閲覧。
  5. ^ 環境省地球環境局長 関荘一郎. “入札公告 平成25年度自主参加型国内排出量取引運営事業委託業務”. 環境省. 2020年11月27日閲覧。
  6. ^ TOP>事業紹介>認定個人情報保護団体”. 一般財団法人日本情報経済社会推進協会 (JIPDEC). 2020年11月27日閲覧。
  7. ^ TOP>認定個人情報保護団体>対象事業者になるための申請・変更手続き”. 一般財団法人日本情報経済社会推進協会 (JIPDEC). 2020年11月27日閲覧。
  8. ^ 個人情報保護委員会 個人情報保護法等 認定個人情報保護団体 認定個人情報保護団体一覧”. 個人情報保護委員会. 2020年11月27日閲覧。
  9. ^ プライバシーマーク使用規約” (PDF). 一般財団法人日本情報経済社会推進協会 (JIPDEC) (2019年6月27日). 2020年11月27日閲覧。
  10. ^ 【ご注意】プライバシーマーク(ロゴ)の不正使用について”. 一般財団法人日本情報経済社会推進協会 (JIPDEC). 2020年11月27日閲覧。
  11. ^ a b TOP > 申請手続き > 申請書類の提出先”. 一般財団法人日本情報経済社会推進協会 (JIPDEC). 2020年11月29日閲覧。
  12. ^ TOP > 申請手続き > 申請資格”. 一般財団法人日本情報経済社会推進協会 (JIPDEC). 2020年11月27日閲覧。
  13. ^ TOP > 申請手続き > 新規申請方法 > 4.現地審査”. 一般財団法人日本情報経済社会推進協会 (JIPDEC). 2020年11月29日閲覧。
  14. ^ TOP > 申請手続き > 新規申請方法 > 5.付与適格決定可否”. 一般財団法人日本情報経済社会推進協会 (JIPDEC). 2020年11月29日閲覧。
  15. ^ TOP > 申請手続き > 付与適格決定後の手続き”. 一般財団法人日本情報経済社会推進協会 (JIPDEC). 2020年11月29日閲覧。
  16. ^ TOP > 申請手続き > 更新申請方法 > 更新手続き”. 一般財団法人日本情報経済社会推進協会 (JIPDEC). 2020年11月29日閲覧。
  17. ^ 平成18年度の個人情報の取扱いにおける事故報告にみる傾向と注意点」一般財団法人日本情報経済社会推進協会 (JIPDEC) 、2007年6月11日
  18. ^ 個人情報の事故で大日本印刷株式会社に「要請」処分」、一般財団法人日本情報経済社会推進協会 (JIPDEC) 、2007年3月23日
  19. ^ 賛助会員一覧 - JIPDEC
  20. ^ 三菱電機:子会社システムで3000人の個人情報流出 毎日jp 2010年11月30日
  21. ^ えびの市民図書館ホームページにおける個人情報流出のお詫び えびの市教育委員会
  22. ^ 平成22年度第7回審査会 JISA社団法人情報サービス産業協会
  23. ^ 三菱電機インフォメーションシステムズ株式会社に対するプライバシーマーク付与認定の一時停止措置について JISA社団法人情報サービス産業協会
  24. ^ “ベネッセ社長「鍵かけても開けられる」 顧客情報流出”. 朝日新聞. (2014年7月12日). オリジナルの2015年6月15日時点におけるアーカイブ。. https://web.archive.org/web/20150615155521/http://www.asahi.com/articles/ASG7C55XRG7CULFA00Y.html 
  25. ^ 株式会社ベネッセコーポレーションへの措置通知について 一般財団法人日本情報経済社会推進協会 (JIPDEC)
  26. ^ “ベネッセ:プライバシーマーク取り消し”. 毎日新聞. (2014年11月26日). http://mainichi.jp/feature/news/20141126mog00m040005000c.html 
  27. ^ 大豆生田 崇志 (2014年11月26日). “ベネッセのプライバシーマーク取り消し、JIPDEC”. ITPro (日経BP). https://xtech.nikkei.com/it/atcl/news/14/112602031/ 2017年5月22日閲覧。 
  28. ^ 個人情報漏えいに関するお詫びとお知らせ - ウェブアーカイブInternet Archive、2022年5月24日)
  29. ^ 中央教育研究所株式会社「CHUOHネットショップ」における 不正アクセスによるお客様情報流出について - ウェブアーカイブInternet Archive、2022年6月15日)
  30. ^ 「CHUOHネットショップ」におけるお客様情報流出について - ウェブアーカイブInternet Archive、2022年5月25日)
  31. ^ 個人情報の保護に関する法律に基づく行政上の対応について” (PDF). 個人情報保護委員会. 2020年11月5日閲覧。
  32. ^ 事業者に対する措置について”. 一般財団法人日本情報経済社会推進協会 (JIPDEC). 2020年11月5日閲覧。
  33. ^ 個人住民税データ入力業務における受託者の契約及び法令違反について”. 熊本市. 2020年11月5日閲覧。
  34. ^ 処分行政手続における特定の個人を識別するための番号の利用等に関する法律に基づく指導について” (PDF). 個人情報保護委員会. 2020年11月5日閲覧。
  35. ^ 事業者に対する措置について”. 一般財団法人日本情報経済社会推進協会 (JIPDEC). 2020年11月5日閲覧。

外部リンク

編集