プライバシーマーク

「Pマーク」はこの項目へ転送されています。Pを丸で囲んだ記号については「レコード著作権マーク」をご覧ください。

プライバシーマークは、個人情報の保護体制に対する第三者認証制度。個人情報保護体制の基準への適合性を評価し、一般財団法人日本情報経済社会推進協会 (JIPDEC) が使用を許諾する。個人情報の英訳である「Personal Information」の頭文字であるPとIをモチーフとしてデザインされた登録商標は、Pマークと通称されている^{[1][注釈 1]}。

概要[編集]

1998年4月1日、早期に実現可能で実効性のある個人情報の保護のための方策として通商産業省（現、経済産業省）の指導により、「プライバシーマーク制度」の運用が開始された^[2]。個人情報の保護体制を審査し、基準への適合が認められれば、プライバシーマークを自社のパンフレットやウェブサイトなどへの表示が可能となる^[1]。

取得には審査機関による適合認証が必要となるため、プライバシーマークを表示することにより、個人情報の取扱い体制への一定の信頼を得るものと言える^[1]。個人情報の保護に関する法律では、個人情報を取扱う業務を委託する際には、委託先の適切な監督をすることが定められており^[3]、プライバシーマークの取得が、委託先の選定の際の目安として使用されることもある。そのため、2010年代以降、官公庁など公的機関の入札資格にプライバシーマーク（あるいはISMS、ISO 27001）の取得を要件とするものが増えている^[4][5]。

また、JIPDECはプライバシーマーク取得事業者の申請により、認定個人情報保護団体となるが^{[注釈 2][7]}、他の認定個人情報保護団体への申請や^[8]、申請をしないことも可能なため、プライバシーマークは、JIPDECが認定個人情報保護団体であることを示すものではない。

プライバシーマークの表示[編集]

基準への適合が認められ、JIPDECとプライバシーマーク付与契約を結んだ事業者は、店頭、説明書、広告、封筒、名刺、ウェブサイト等にプライバシーマークを表示することができる^[1]。また、プライバシーマークを表示する際には、取得事業者毎に採番された登録番号を同時に表示しなければならず、マークを単体で使用することはできない^{[注釈 3]}。

JIPDECはウェブサイト上にて、付与事業者を公表するほか^{[注釈 4]}、使用許諾を得ずにプライバシーマークを掲示している団体においても、名称や所在地、URLなどが公表される^[10]。

取得方法[編集]

JIPDECでは、JIS規格のJIS Q 15001（個人情報保護マネジメントシステム ― 要求事項）に適合した個人情報保護体制を運用可能な状態に構築した後、所定の書類と費用を、JIPDECあるいは後述の指定審査機関へ提出し申請する^[11]。なお、申請は病院、学校等の例外を除き、法人単位で行う必要があるため、各地に支店や支所等を構える法人は、それらのすべての支店、支所においても体制を調えておく必要がある^[12]。

その後、書類審査と申請を行った団体への立ち入り審査が行われる。審査機関から改善指摘を受けた場合、申請した団体は改善の報告を行う^[13]。この報告を受け、審査員が改善の確認と審議を行い、審査合格となる。その後、申請を行った団体とJIPDECとの間でプライバシーマーク付与契約を締結する^[14]。当該契約締結と付与登録料の入金確認後、事業者名がJIPDECのウェブサイトに掲載される^[15]。

プライバシーマークを使用できる期間は2年間であり、その後さらに使用を希望する場合は更新のための審査を受け適合する必要がある^[16]。

取得事業者における情報漏洩問題[編集]

2006年におけるプライバシーマーク取得事業者における個人情報の取り扱いにおける事故として、JIPDEC及び他の指定機関が受け付けた報告は、439社、708件に及んだ。内JIPDECが受け付けた事故報告は651件有り、その97%は情報漏洩事故である。漏洩事故の内訳は、個人情報を含む書簡・FAX、メールの誤配による情報漏洩が405件と6割以上を占めている。また、Antinnyなどファイル交換ソフトを使ったことによる漏洩は、28件(4%)であった^[17]。

中でも、大日本印刷が864万件以上という過去最大（2007年3月時点）の個人情報流出事故を起こしているが、JIPDECは認定取り消しの次に重い処分である「改善要請」を出し、認定を取り消すことがなかった^[18]。JIPDECは認定を取り消すよりも、制度の枠内で適切な再発防止策を講じさせるほうが有効であると結論付けているが、Pマーク自体の信頼性にもかかわる事件であり、認定を取り消すべきであると言う批判が相次く事態となった（ただし、当時の制度は、個人情報漏洩だけでは取消処分にはできないものであった）。なお、大日本印刷は当時JIPDECの賛助会員の一員であった（2010年11月現在も継続中）^[19]。

三菱電機インフォメーションシステムズは2000年から2010年7月まで図書館貸し出しシステムに宮崎県えびの市の図書館利用者2761名を含む約3000名の個人情報を添付した状態でパッケージとして76カ所の図書館に納品し^[20]、さらにAnonymous FTPサーバをVPNなどを用いず不用意に設定したため誰でもアクセスできる状態になっていた^[21]。しかし、その直後に行われたJISA 平成22年度第7回審査会でペナルティを受けることなくプライバシーマークの認定が更新された^[22]。JISAは2011年1月24日付で、同社のプライバシーマーク付与認定を一時停止（2か月）にすると発表した^[23]。

2014年11月26日、3,504万件の個人情報漏洩を起こした「ベネッセ個人情報流出事件」に対して、ベネッセホールディングスが取得していた「プライバシーマーク認証」を取り消すペナルティを課した^{[24][25][26][27]}。

2022年5月24日、中央教育研究所（登録番号：10190760）が 2,930 件以上の顧客クレジットカード情報漏洩の可能性を公表した^[28][29][30]。しかし、その後も同社は2022年9月現在までプライバシーマークを掲示し続けている。

その他の付与取消事例[編集]

2019年11月14日、「内定辞退率」等の個人情報を本人の同意を得ることなく提供していたとして、個人情報保護委員会より勧告処分を受けていたリクルートホールディングスの子会社であるリクルートキャリアに対し^[31]、プライバシーマークの付与取り消し措置を行った^[32]。

2020年1月10日、熊本県熊本市が委託した個人番号を含む個人情報の取り扱い業務を無断で再委託したとして^[33]、個人情報保護委員会より指導を受けていたNEW FEELに対し^[34]、プライバシーマークの付与取り消し措置を行った^[35]。

指定審査機関[編集]

JIPDECによって指定された民間事業者団体。申請の受付・審査と付与可否の認定等を行っている。

申請する事業者が下記団体に加入しているか、特定の職種であるか、本社の登記上の所在地によっては、JIPDECではなく、それぞれの団体に対して審査申請する^[11]。

• 一般社団法人情報サービス産業協会
• 一般社団法人日本マーケティング・リサーチ協会
• 公益社団法人全国学習塾協会
• 一般社団法人全日本冠婚葬祭互助協会
• 一般社団法人日本グラフィックサービス工業会
• 一般社団法人日本情報システム・ユーザー協会
• 一般財団法人日本データ通信協会
• 一般社団法人ソフトウェア協会
• 一般社団法人日本印刷産業連合会
• 一般財団法人放送セキュリティセンター
• 一般社団法人モバイル・コンテンツ・フォーラム
• 一般財団法人日本エルピーガス機器検査協会

上記団体の会員企業の場合、加入先団体に申請する。

• 一般財団法人医療情報システム開発センター（保健・医療・福祉関連業種の申請先）
• 一般社団法人北海道IT推進協会（北海道に本社のある会社の申請先）
• 特定非営利活動法人みちのく情報セキュリティ推進機構（東北地方に本社のある会社の申請先）
• 一般社団法人中部産業連盟（愛知県、岐阜県、三重県、富山県、石川県に本社のある会社の申請先）
• 一般財団法人関西情報センター（大阪府、京都府、福井県、滋賀県、兵庫県、奈良県、和歌山県に本社のある会社の申請先）
• 特定非営利活動法人中四国マネジメントシステム推進機構（中国・四国地方に本社のある会社の申請先）
• 公益財団法人くまもと産業支援財団（九州・沖縄地方に本社のある会社の申請先）

脚注[編集]

注釈[編集]

出典[編集]

外部リンク[編集]

• プライバシーマーク制度
• 日本情報経済社会推進協会