書いてあること

  • 主な読者:プライバシーマークの新規取得を考えている経営者
  • 課題:個人情報の適切な取り扱いを実施する体制を構築したい
  • 解決策:プライバシーマーク制度や「JIS Q 15001:2017」について理解し、規程、様式などの策定や教育の実施など社内体制を整える

1 プライバシーマーク制度の目的

プライバシーマーク制度は、日本産業規格「JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項」(以下「JIS Q 15001:2017」)に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者などを認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。

プライバシーマーク制度の目的は次の通りです。

  • 消費者の目に見えるプライバシーマークで示すことによって、個人情報の保護に関する消費者の意識の向上を図ること
  • 適切な個人情報の取り扱いを推進することによって、消費者の個人情報の保護意識の高まりに応え、社会的な信用を得るためのインセンティブを事業者に与えること

2 プライバシーマーク制度の実施体制

1)プライバシーマーク付与機関(付与機関)

付与機関は、審査機関(後述)を指定すること、事業者からのプライバシーマーク付与の申請を審査することをはじめとし、プライバシーマーク制度を適正に運用する役割を担っています。付与機関は日本情報経済社会推進協会(以下「JIPDEC」)です。

付与機関の下には、学識者、有識者、事業者団体の代表、消費者代表、法曹関係者などで構成される「プライバシーマーク制度委員会」と、消費者などからの個人情報の保護に関する問い合わせ、プライバシーマーク制度に関する苦情などを受け付けて対応する「消費者相談窓口」が設置されています。

■日本情報経済社会推進協会■
https://www.jipdec.or.jp/

2)プライバシーマーク指定審査機関(審査機関)

個人情報を取り扱う民間事業者を会員とする事業者団体で、付与機関から指定を受けた団体です。

■JIPDEC「プライバシーマーク指定審査機関一覧」■
https://privacymark.jp/system/about/agency/member_list.html

3)プライバシーマーク指定研修機関(研修機関)

付与機関に申請してプライバシーマーク制度委員会の審議を経て研修機関として指定を受けた団体です。研修機関は、審査員補を養成するための研修、並びに主任審査員、審査員および審査員補が資格を維持するためのフォローアップ研修を実施します。

3 プライバシーマーク付与の対象と単位

プライバシーマーク付与の対象は、日本国内に活動拠点を持つ事業者で、「JIS Q 15001:2017」に準拠した個人情報保護マネジメントシステムを定め、それに基づき実施可能な体制を整備し、個人情報の適切な取り扱いを実施している事業者です。

付与は、法人単位です。ただし、医療法人、学校法人等については一部例外があります。

4 プライバシーマークを表示できる場所

プライバシーマークを表示できる場所は、店頭、契約約款、説明書、宣伝・広告資料、封筒、便箋、名刺、ウェブサイトなどです。

5 プライバシーマーク付与の有効期間

1回の認定による有効期間は2年間です。ただし、以降は、2年ごとに更新を行うことができます。なお、更新申請は、有効期間の終了する8カ月前から4カ月前の日までの間に行わなければなりません。

6 プライバシーマーク付与事業者

プライバシーマーク付与事業者は、次のウェブサイトで確認できます。2020年4月21日時点で1万6459事業者がプライバシーマークの付与認定を受けています。

■JIPDEC「プライバシーマーク付与事業者検索」■
https://entity-search.jipdec.or.jp/pmark

7 プライバシーマーク付与登録までの流れ

プライバシーマーク付与の認定を受けようとする事業者は、申請書類を審査機関または付与機関の受付窓口に提出します。申請方法は次のウェブサイトを参照してください。

■JIPDEC「プライバシーマーク制度 申請手続き」■
https://privacymark.jp/p-application/

なお、個人情報保護マネジメントシステムの運用に際して、「JIS Q 15001:2017」では、個人情報保護管理者と個人情報保護監査責任者が1名ずつ必要と定められています(兼任不可)。法人であっても一人会社の場合は付与の対象となりませんし、組織体としての実態があれば、個人事業主も付与の対象となります。

新規申請の場合、プライバシーマーク付与登録までの流れは次のようになります。

  • 個人情報保護方針(プライバシーポリシー)の策定と公表
  • 個人情報保護のための組織化
  • 個人情報の特定とリスクの認識
  • 個人情報保護のための規程・規則・手順書・様式などの策定
  • 策定した規程類に基づく全従業者に対する教育の実施
  • 個人情報保護マネジメントシステムの運用(1カ月以上)
  • 全拠点・部門での内部監査の実施
  • 内部監査結果の代表者への報告と是正
  • 申請準備と申請(申請書類を審査機関あるいは付与機関に提出)
  • 審査機関あるいは付与機関によるプライバシーマーク付与適格性の審査(受審)
  • 審査機関あるいは付与機関からの指摘事項の是正
  • プライバシーマーク付与の認定
  • プライバシーマーク付与契約、登録証の交付

8 プライバシーマーク付与に係る費用

プライバシーマーク付与に係る費用は次の通りです。ただし、この費用は、付与機関であるJIPDECまたは審査を申請した審査機関に支払う金額です。規程、様式などの策定や教育の実施など、社内体制整備のためにコンサルタントなどを利用した場合、別途費用が必要です。

画像1

なお、事業者規模の区分(小規模、中規模、大規模)は、「登記された資本金の額または出資の総額」「従業者数」「業種」を基準として一律に判定します。資本金の額または出資の総額が登記されていない無限責任の事業者(合名会社、合資会社等)の場合は、従業者数と業種のみで判定します。同様に、資本金の額または出資の総額が登記されていない社団法人や財団法人等も、従業者数と業種のみで判定します。

■JIPDEC「プライバシーマーク制度 費用」■
https://privacymark.jp/p-application/cost/
■JIPDEC「プライバシーマーク制度 事業者規模の区分」■
https://privacymark.jp/p-application/cost/segment.html

以上(2020年6月)

pj60040
画像:photo-ac

Leave a comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です