http://pmark.subete.info/ プライバシーマーク（Pマーク）認証取得制度は、個人情報保護法への積極的な攻めの対策として多くの企業から注目を集めています。プライバシーマーク（Pマーク）は個人情報の保護を適切に行なっている事業者にのみ与えられ、使用が認められます。プライバシーマーク（Pマーク）認証制度の基礎知識をわかりやすく解説します。 ja Copyright 2008 Sun, 22 Jul 2007 13:56:14 +0900 http://www.sixapart.com/movabletype/ http://blogs.law.harvard.edu/tech/rss プライバシーマーク（Pマーク）制度とは個人情報の保護を適切に行なっていると認定された事業者に、それを示すプライバシーマークが与えられ、その使用を認める認証制度のことです。 プライバシーマーク制度は個人情報保護体制確立の認定制度であり、認定を受けるにはJIS Q 15001:2006に準拠した社内体制の構築が必要です。 プライバシーマーク制度は、個人情報保護のマネジメントシステムが構築され、それに関して教育等による周知徹底をした上で、実際に運用しその状況を監査して必要な見直しが行われていることを申請の条件としています。 プライバシーマーク制度の審査は財団法人日本情報処理開発協会（JIPDEC）と７つの指定機関等が実施しています。 　•　（社）情報サービス産業協会 　•　（社）日本マーケティング・リサーチ協会 　•　（社）全国学習塾協会 　•　（社）全日本冠婚葬祭互助協会 　•　（社）東京グラフィックサービス工業会 　•　（社）日本情報システム・ユーザー協会 　•　（財）日本データ通信協会 プライバシーマークの認定を受けると、名刺やホームページ（WEBサイト）、企業広告などにプライバシーマーク（Pマーク）を使用することができ、個人情報保護に対する信頼性を広くアピールできます。 つまりプライバシーマーク制度はマーク自体をさす以上の意味が有り、個人情報保護体制確立の認定制度なのです。 プライバシーマーク制度（Ｐマーク）は1998年4月に発足しました。 最近は取引の条件としてプライバシーマークの取得を条件とする企業が増えており、個人情報を取り扱う企業にとってはプライバシーマーク（Pマーク）の取得が重要なテーマとなっています。 http://pmark.subete.info/p.html http://pmark.subete.info/p.html Thu, 19 Jul 2007 05:48:09 +0900 JIS Q 15001とは個人情報保護の基準を定めたJIS規格のことで財団法人日本規格協会（JSA）が発行しています。 プライバシーマーク（Pマーク）の認定を受けるにはJIS Q 15001に準拠した個人情報保護のマネジメントシステムの構築が必要で、また、それに関し教育等による周知徹底をした上で実際に運用し、その状況を監査して必要な見直しが行われていることを申請の条件としています。 つまりJIS Q 15001（JIS Q 15001:2006）はプライバシーマーク認定を受ける際の基準として使用されているのです。 組織として実施すべき“個人情報保護基準”を確実に実現するためには、個人情報保護法に定められた水準をさらに強化した基準が必要で、それがJIS Q 15001です。 JIS Q 15001:2006　とは何か？ 2005年4月1日、個人情報保護に関する法律が全面的に施行されたことを受けて、1999年3月20日制定のJIS Q 15001：1999「個人情報保護に関するコンプライアンス・プログラムの要求事項」が改正されJIS Q 15001:2006 「個人情報保護に関するマネジメントシステム−要求事項」として2006年5月に公表されました。 プライバシーマーク（Pマーク）の認定を受けるにはJIS Q 15001：2006「個人情報保護マネジメントシステム−要求事項」の要求事項を満たしていなければなりません。 新JISに定められた、個人情報保護法をさらに強化した基準をどのような仕組みで守っていくべきでしょうか。 JIS Q 15001：2006では、その具体的な方法を「マネジメントシステム」という形で示しています。 つまりプライバシーマーク（Pマーク）は個人情報の適切な保護に関するマネジメントシステムへの認証制度と言い換えることが出来るのです。]]> http://pmark.subete.info/jis_q_150012006.html http://pmark.subete.info/jis_q_150012006.html Thu, 19 Jul 2007 06:15:00 +0900 第三者からの認定であることをアピール プライバシーマーク取得の最大のメリットは、顧客や取引先など社外に対する強力なアピール力です。 プライバシーマーク取得企業は、そのホームページや広告、社員の名刺などにプライバシーマークを掲示することで、個人情報保護に対する信頼性を広くアピールできます。 プライバシーマーク取得企業として個人情報の保護を適切に行なっている企業であることを社外に強力にアピール出来るのです。 プライバシーマークは、中立の立場である“第三者機関”が個人情報保護体制を審査した上で認定されます。自社のみで個人情報保護体制を構築したものとは信頼感が異なるのです。 社内に有効な個人情報保護法対策の体制を確立 プライバシーマーク取得のメリットは、その前提として社内に効果的な個人情報保護法対策の体制が確立できることがあげられます。 プライバシーマークはJIS Q 15001に準拠した体制を構築できた場合に認定されるため、個人情報保護法とは直接の関係が有りません。 が、JIS Q 15001の要求事項は、個人情報保護法の要求事項と共通点が多く、また比較するとJIS Q 15001の要求水準の方が高いため、プライバシーマークを取得すると結果として個人情報保護法対策の体制が構築できたこととなります。 プライバシーマークが注目を集めているのはこの点にも大きな理由があります。 プライバシーマークを象徴として、従業員の個人情報保護に対するモチベーションを維持しやすい点もメリットとして挙げられます。]]> http://pmark.subete.info/post.html http://pmark.subete.info/post.html Fri, 20 Jul 2007 05:16:59 +0900 プライバシーマーク（Pマーク）取得が取引条件に！ ビジネスが多様化する現代は、大手企業や官公庁、自治体等で業務の一部を外注委託するケースが増えています。 一方、個人情報保護法22条には委託先の監督義務が定められており、委託先から個人情報が漏洩した場合は発注元の企業も監督責任を問われます。 業務を委託する際の企業選定には「個人情報の保護」が必須要素となるでしょう。 取引先や委託先を選定する基準として「プライバシーマーク（Pマーク）の取得企業であること」が求められるケースが増えてきました。 新規取引先の選定ばかりでなく、従来からの取引を引続き継続するためにもプライバシーマーク取得が必須条件となるケースも出てくることでしょう。 個人情報保護体制が構築され、有効に機能しているかどうかを外部から確認するには第三者が審査して認定した、プライバシーマーク（Pマーク）を取得した企業であるかどうかを確認すれば良いからです。 大手企業や官公庁・自治体等では、入札参加条件にプライバシーマーク取得企業であることを挙げるケースも出てきています。 すなわち、プライバシーマーク取得のメリットとして 　・　取引先、顧客、株主などからの信頼感が向上 　・　入札参加時の競争力の強化 　・　個人情報保護に関する信頼性のアピール　　　等があげられます。 また、全社員の個人情報保護意識が向上する、全社員が目標設定を共有できるなども、プライバシーマーク取得のメリットに数えられます。]]> http://pmark.subete.info/p2.html http://pmark.subete.info/p2.html Fri, 20 Jul 2007 06:35:57 +0900 指定機関・付与機関とは何でしょうか？ プライバシーマークの取得申請企業が「付与機関」（財団法人日本情報処理開発協会　JIPDEC）の指定する「指定機関」の会員企業である場合、取得申請は所属する「指定機関」に提出します。 「指定機関」の会員企業でない場合、取得申請は直接「付与機関」（JIPDEC）に提出します。 申請を行なうことができる事業者の条件として 　・　国内に活動拠点を持つ民間事業者であること 　・　申請は法人単位で実施すること などの条件があります。 企業内の事業部等が単独で取得申請を実施するケースなどは認められません。 また、少なくとも下記の条件を満たしている必要があります。 民間の事業者以外（自治体等）でも、この条件を満たせば申請が可能です。 １．「個人情報保護マネジメントシステム―要求事項（JIS Q 15001：2006）」に準拠した個人情報保護マネジメントシステム（PMS）を定めていること。 ２．個人情報保護マネジメントシステム（PMS）に基づき実施可能な体制が整備されて個人情報の適切な取扱いが行なわれていること。 ３．個人情報マネジメントシステム（PMS）が2006年版JISに対応していることを、2006年版JISが公表された後、事業者自らが点検済であること。 プライバシーマーク取得申請の前に個人情報の漏洩事故があった事業者は一定期間の間は申請ができないというペナルティ条件もあります。 プライバシーマーク認定の有効期間は2年間のため、プライバシーマークの継続付与を望む場合は2年後に更新手続を行なう必要があります。]]> http://pmark.subete.info/post_1.html http://pmark.subete.info/post_1.html Sat, 21 Jul 2007 21:37:01 +0900 プライバシーマーク（Pマーク）付与認定申請の際は、以下の必要書類を揃えて提出します。 1.　プライバシーマーク付与申請書（様式2006-1新規）（代表者印の捺印があること） 2.　会社概要（様式2006-2） 3.　取扱う個人情報の概要（様式2006-3） 4.　すべての事業所の所在地及び業務内容（様式2006-4） 5.　個人情報保護体制（様式2006-5） 6.　個人情報保護マネジメントシステム（PMS）文書の一覧（様式2006-6） 7.　JIS 要求事項との対応表（様式2006-7） 8.　教育実施記録（様式2006-8）（全ての従業者に実施した教育実施記録） 9.　監査実施記録（様式2006-9）（全ての部門に実施した監査実施記録） 10. 事業者の代表者による見直し実施記録（様式2006-10） 11. 登記簿謄本（または抄本）等、申請者の実在を証する公的文書 　　　（申請の日前３ヶ月以内に発行のもの。コピー不可） 12. 定款、寄付行為、その他これに準ずる規程類 13. 会社パンフレット（ある場合） 14. 個人情報保護マネジメントシステム（PMS）文書一式（様式2006-6に記載の文書全て） 15. JIS 要求事項との対応表（様式2006-7）の「使用する様式」欄に記載した全ての様式 16. 2006年版JISへの対応状況を記載した書類 申請書類は用意された様式の書類を全てA4縦の用紙を使用して作成します。 2006年版JISへの対応については、個人情報マネジメントシステム（PMS）が2006年版のJISに対応し、体制を確立していることが前提となるため、JISが公表された後、対応をどのように行ったか、 　・　規程の変更、 　・　変更内容の教育、 　・　監査、 　・　事業者の代表者による見直し 等の実施内容、実施年月日、実施担当者等を具体的に記載する必要があります。 実施内容とその実施年月日は必須です。]]> http://pmark.subete.info/post_3.html http://pmark.subete.info/post_3.html Sat, 21 Jul 2007 21:53:29 +0900 プライバシーマーク（Pマーク）付与認定申請の書類は提出後、書類の不足及び記載漏れが無いか確認され、申請料の入金が確認されると、記載内容に不備がないか、申請資格があるか等の審査が行なわれます。 上記審査の結果、申請が受理された場合は「プライバシーマーク付与申請に係る申請書類受領書」が送付されて来ます。 受理された申請書類の記載内容等に関して、個人情報保護マネジメントシステム（PMS）等の個人情報保護の行動指針を定めた規程類の整備状況、それらの規程類に準じた体制整備状況の視点から審査が行なわれます。 基本的に「プライバシーマークの付与を申請できる事業者」としての条件を満たしていることが必要ですが、特に下記の事項については重要な条件となります。 a. 個人情報の管理者が指名され、個人情報保護についての社内の責任、役割分担が明確である等、個人情報を適切に取り扱う体制が整備されていること。 b. 申請までに年1回以上、個人情報保護マネジメントシステム（PMS）の周知徹底の措置（教育、研修等）を実施していること。 c. 申請までに1回以上、事業者内部の個人情報の保護の状況を監査していること。 d. 当該者に係る個人情報保護に関する相談窓口が常設され、かつそれが消費者に明示されていること。 e. 当該者が有する個人情報について、外部からの侵入又は内部からの漏えいが発生しないよう適正な安全措置を講じていること。 f. 企業外部への個人情報の提供、取扱いの委託を行う際には、 責任分担や守秘に係る契約を締結する等、個人情報について適切な保護が講じられるよう措置していること。 審査に際して生じた疑義について、別途必要な資料の提供を求められることもあります。]]> http://pmark.subete.info/post_2.html http://pmark.subete.info/post_2.html Sun, 22 Jul 2007 07:52:14 +0900 現地審査」が行なわれます。 現地審査は個人情報保護マネジメントシステム（PMS）の通りに体制が整備され、運用されているか、また書類審査において生じた疑義についての確認等を目的に行われます。 現地審査では、概ね以下のようなことを行います。 1. 代表者へのインタビュー o 個人情報に関する事故の有無確認 o 事業内容/経営方針 o プライバシーマーク申請のきっかけ o 個人情報保護方針とその周知方法 o 個人情報保護管理者・監査責任者の任命 o マネジメントレビュー 2．運用状況の確認 申請担当者、個人情報保護管理者、監査責任者等へのヒアリング o 個人情報を取り扱う業務の確認 o 特定の手順 o 教育・訓練 o 監査 o 委託契約・選定基準 o リスクの認識と処理 　　　・ 輸送／オンサイト委託／ネットワーク 　　　・ 不正アプリケーション／ウィルス／リモートアクセス o 電話帳データ等情報主体の同意を取れてないものの利用・提供の有無 o 情報主体からの要求に対する対応 現地審査について−2　へつづく]]> http://pmark.subete.info/post_4.html http://pmark.subete.info/post_4.html Sun, 22 Jul 2007 09:33:27 +0900 現地審査」が実施されます。 現地審査について　より 1. 代表者へのインタビュー、 2．運用状況の確認　　　　　　　についで以下の項目が実施されます。 3．現場での実施状況の確認 o　個人情報保護方針の周知状況 o　物理的アクセス制御 　　　・入口・マシン室・倉庫・書庫・金庫・引出し 　　　・鍵管理 o　論理的アクセス制御 　　　・クライアント／サーバ 　　　・暗号化 　　　・暗号鍵管理 o　バックアップ 　　　・記録媒体の管理 o　記録 　　　・授受、破棄等の確認書類 　　　・入退室、アクセスログ 　　　・管理台帳 o　オンライン特有の処置 　　　・個人情報保護方針の掲載 　　　・収集時のSSLの使用 　　　・サービス、業務毎の“同意文言” 　　　・Cookieなどのウェブバグの利用の有無 　　　・クロスサイトスクリプティング（CSS）などのセキュリティ対策 4．総括 o　指摘事項等 書類審査および現地審査の結果に基づいてプライバシーマーク付与認定の可否が決定されます。 決定結果は、申請者に対して「プライバシーマーク付与申請審査通知」の送付によって行われます。]]> http://pmark.subete.info/2.html http://pmark.subete.info/2.html Sun, 22 Jul 2007 09:51:58 +0900 プライバシーマーク付与認定可否の決定と通知 プライバシーマーク付与認定の可否は書類審査および現地審査の結果に基づいて決定されます。 決定結果は、申請者に対して「プライバシーマーク付与申請審査通知」の送付によって行われます。 プライバシーマーク付与契約 プライバシーマーク付与認定の通知を受けた申請者は、指定の期日までにプライバシーマーク使用料として、認定の有効期間2年間分に相当する金額を「プライバシーマーク使用料請求書」に基づき一括して付与機関に振り込みます。 付与契約と使用許諾証の交付 付与機関は、プライバシーマーク使用料2年分が振り込まれると、当該事業者に対してプライバシーマーク付与契約書と使用許諾証が交付されます。 プライバシーマーク付与契約書は、プライバシーマーク使用に関する事項を定めたもので、契約期間はマーク付与の有効期限である2年間です。 （更新の手続きをとって使用の更新を行うことができます。） 認定の公表 認定の結果は、速やかに付与機関のホームページで公表されます。 申請事項の変更 申請書類提出後および認定後に、申請された事項に変更がある場合は、すみやかに付与認定機関への報告が必要です。 　・変更報告が必要な事項 　1.　認定事業者名 　2.　本社住所 　3.　代表者 　4.　個人情報保護管理者 　5.　個人情報保護に係わる消費者相談窓口担当者 　6.　申請担当者 　7.　申請担当者の連絡先(勤務地、電話番号、e-mailアドレス等) ]]> http://pmark.subete.info/post_5.html http://pmark.subete.info/post_5.html Sun, 22 Jul 2007 13:44:47 +0900 ISMSとは何か？ プライバシーマーク（Pマーク）制度と似た情報管理の認証制度にISMS適合性評価制度があります。プライバシーマーク制度と比較してみましょう。 ISMSとは情報セキュリティマネジメントシステム（ Information Security Management System ）の略で「アイエスエムエス」または「イスムス」とも呼びます。 ISMSとは「情報資産を安全に運用するために、組織としての方針および目標を定め、その目標を達成するためのシステム」のことです。 この場合のシステムとは単にハードウェアのみではなく、組織やその管理手法を含むソフトウェア面もあわせたトータルな意味でのシステム全体のことで、「体制」全体を指しています。 ※　ISMS適合性評価制度とは、名前のとおりISMSを評価認証する制度でプライバシーマーク制度と同じ、財団法人日本情報処理開発協会（ JIPDEC ）が運用をしています。 ISMSとの比較 つまり、ISMSとは情報セキュリティ全般に関するマネジメントシステムに対する認証制度と言うことが出来ます。 これに対して、プライバシーマーク（Pマーク）制度はJIS Q 15001:2006に準拠した、個人情報保護の適切な取り扱いに関するマネジメントシステムへの認証制度です。 ISMSとプライバシーマークとでは、対象とする情報の適用範囲が異なるのです。]]> http://pmark.subete.info/isms.html http://pmark.subete.info/isms.html Sun, 22 Jul 2007 13:56:14 +0900