プライバシーマーク

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動先: 案内検索

プライバシーマークとは、個人情報保護に関して一定の要件を満たした事業者(基本的には法人単位。ただし、医療関連については病院ごとなど例外あり)などの団体に対し、一般財団法人日本情報経済社会推進協会 (JIPDEC) が使用を認める登録商標(サービスマーク)の事である。

プライバシーマークは、「私的な制度」であり、経済産業省所管の情報処理推進機構(IPA)や、JPCERT/CCとは無関係である。従って、プライバシーマークは、インターネット利用者のプライバシーを、法に基づき保護するものではない。

サービス概要[編集]

1998年4月より、商標である「プライバシーマーク」の使用の許諾が開始された。申請を行い認定されれば、プライバシーマークを自社のパンフレットウェブサイトなど公の場で使用することができる。しかし、プライバシーマークを使用できる団体が、個人情報の適切な取り扱いを行っているとは限らない。

また、プライバシーマークは、認定個人情報保護団体の対象事業者を証明するものではないため、日本情報経済社会推進協会は、『個人情報の保護に関する法律第42条』に基づく苦情とその処理を受け付けていない[1]

このように、プライバシーマークは法的根拠のない資格商法であるため、一般の利用者に過大な評価を与えてしてしまう危険性があるが、2014年(平成26年)9月16日の時点で、13,761社[2]の事業者が『プライバシーマーク』を取得している。

運用実態[編集]

使用許諾を得ずにプライバシーマークを掲示した団体は、一般財団法人日本情報経済社会推進協会のウェブサイトで、名称や所在地、URLなどを2年間にわたり公表される、といった法に基づかない私的な制裁が行われている。[3]

取得方法[編集]

一般財団法人日本情報経済社会推進協会では、日本工業規格(JIS)のJIS Q 15001(個人情報保護マネジメントシステム ― 要求事項)に適合した個人情報保護体制を運用可能な状態に構築した後、所定の書類と費用を、一般財団法人日本情報経済社会推進協会あるいは後述の指定審査機関へ提出し申請する。

その後、書類審査と申請を行った団体への立ち入り審査が行われる。日本情報経済社会推進協会から改善指摘を受けた場合、申請した団体は改善の報告を行う。この報告を受け、審査員が改善の確認と審議を行い、審査合格となる。その後、申請を行った団体と一般財団法人日本情報経済社会推進協会との間で商標権使用許諾を契約を締結する。同時に事業者名が一般財団法人日本情報経済社会推進協会のウェブサイトに記載される。

プライバシーマークを使用できる期間は2年間(有料)であり、その後さらに使用を希望する場合は更新のための審査を受け合格する必要がある。

取得支援会社[編集]

プライバシーマークの取得には膨大な時間、書類作成と社内研修の実施が義務付けられているため、民間企業の支援コンサルティングを受け取得するケースが一般的である。 各社サービス内容や価格には差がある。

取得事業者における情報漏洩問題[編集]

2006年におけるプライバシーマーク取得事業者における個人情報の取り扱いにおける事故として、JIPDEC及び他の指定機関が受け付けた報告は、439社、708件に及んだ。内JIPDECが受け付けた事故報告は651件有り、その97%は情報漏洩事故である。漏洩事故の内訳は、個人情報を含む書簡・FAX、メールの誤配による情報漏洩が405件と6割以上を占めている。また、Antinnyなどファイル交換ソフトを使ったことによる漏洩は、28件(4%)であった[4]

中でも、大日本印刷が864万件以上という過去最大(2007年3月時点)の個人情報流出事故を起こしているが、JIPDECは認定取り消しの次に重い処分である「改善要請」を出し、認定を取り消すことがなかった[5]。JIPDECは認定を取り消すよりも、制度の枠内で適切な再発防止策を講じさせるほうが有効であると結論付けているが、Pマーク自体の信頼性にもかかわる事件であり、認定を取り消すべきであると言う批判が相次く事態となった(ただし、当時の制度は、個人情報漏洩だけでは取消処分にはできないものであった)。なお、大日本印刷は当時JIPDECの賛助会員の一員であった(2010年11月現在も継続中)[6]

三菱電機インフォメーションシステムズ2000年から2010年7月まで図書館貸し出しシステムに宮崎県えびの市の図書館利用者2761名を含む約3000名の個人情報を添付した状態でパッケージとして76カ所の図書館に納品し[7]、さらにAnonymous FTPサーバをVPNなどを用いず不用意に設定したため誰でもアクセスできる状態になっていた[8]。しかし、その直後に行われたJISA 平成22年度第7回審査会でペナルティを受けることなくプライバシーマークの認定が更新された[9]。JISAは2011年1月24日付で、同社のプライバシーマーク付与認定を一時停止(2か月)にすると発表した。[10]

指定審査機関[編集]

一般財団法人日本情報経済社会推進協会によって指定された民間事業者団体。申請の受付・審査と付与可否の認定等を行っている。

申請する事業者が下記団体に加入しているか、本社の登記上の所在地によっては、それぞれの団体に申請する。[11]

上記団体の会員企業の場合、加入先団体に申請する。
  • 一般財団法人医療情報システム開発センター(医療・福祉関連業種の申請先)
  • 一般社団法人北海道IT推進協会(北海道に本社のある会社の申請先)
  • 特定非営利活動法人みちのく情報セキュリティ推進機構(東北地方に本社のある会社の申請先)
  • 一般社団法人中部産業連盟(愛知県、岐阜県、三重県、富山県、石川県に本社のある会社の申請先)
  • 一般財団法人関西情報センター(大阪府、京都府、福井県、滋賀県、兵庫県、奈良県、和歌山県に本社のある会社の申請先)
  • 財団法人くまもとテクノ産業財団(九州・沖縄地方に本社のある会社の申請先)
  • 特定非営利活動法人中四国マネジメントシステム推進機構(中国・四国地方に本社のある会社の申請先)

脚注[編集]

[ヘルプ]

外部リンク[編集]