マイナンバー制度の施行や、相次ぐ情報流出事件により話題となっている個人情報保護。持っている情報の一部でも漏洩してしまうと、企業の存続に関わる一大事となってしまいます。
「企業等がどのように個人情報を取り扱っているか、あなたは気になりますか?」
出典元 個人情報に関する意識調査2015(JIPDEC)
今回は、個人情報を保護するためのルールが企業に浸透しているかどうかがチェックされる仕組みであるプライバシーマーク制度について、制度の概要や取得のメリット、取得までの具体的なステップについてご紹介していきます。
目次
ITはいまや、あらゆる事業活動を支えるインフラになりました。見込み顧客はインターネットを通じて問い合わせしたり、モノを買ったりします。企業が消費者から収集した個人情報は、さまざまな枠組みの中で管理されていますが、これが一部でも漏洩してしまうとどうなるでしょう?積み上げた企業の信頼も一瞬にして崩れてしまうのは、ニュースで目にする光景ですね。
実は、個人情報の保護については、大企業だけの話ではなくなりました。
これまで個人情報を大量に扱う企業に対しては「個人情報保護法」によって、取得した個人情報を、厳重、慎重に管理することが義務付けられてきました。しかし、平成28年に施行されたいわゆる「マイナンバー法」(正式名称は「行政手続における特定の個人を識別するための番号の利用等に関する法律」)によって、これまで「個人情報保護法」上は適用除外になっていた小規模な事業者でも、マイナンバーの管理については厳格な取り扱いルールが適用され、罰則の対象となったのです。
さらに、個人情報保護法の改正により、個人情報を取り扱う量に関係なく、すべての事業者が法律の対象となり、個人情報の管理に対する法律上の規制はますます厳しくなります。例え取り扱っている個人情報が、従業者の方の情報だけであっても個人情報保護法の対象となります。企業の総務・人事などの担当者の方々なら、対策に苦慮することになるかもしれません。
企業は株主や投資家、社員、取引先、地域社会など、すべての関係者の信頼を得なければなりません。インターネット時代においては、「個人情報の管理」はもはや社会的責任の一つといってよいでしょう。
私は、みなさんが「やっぱり個人情報保護を徹底できる会社にしたいよね?」という感情が湧き立ち、「一生懸命事業をやっていくならそれを社会に誇らしく発信したい」と思っていただきたいという気持ちを持っています。以下に具体的なステップを紹介しますが、これは企業として絶対にやるべきだという思いを持っていただければ幸いです。
「JIS Q 15001」という言葉を聞いたことがありますか? さまざまな分野の標準規格を定めた日本工業規格(JIS)の一つで、事業者が業務上取り扱う個人情報を、安全かつ適切に管理するためのスタンダードとして要求される事項がまとめられています。この「JIS Q 15001」では、以下の要求事項が求められています。
プライバシーマークの取得には、この「JIS Q 15001」が審査基準となっています。つまり会社の個人情報保護マネジメントシステムが確立していることを「見える化」するための手段としてプライバシーマーク制度は運用されています。
プライバシーマーク制度は「JIS Q 15001」にのっとって会社内に個人情報を保護するための体制が取られているか? しかもそれがきちんと機能しているか? 修正すべき部分はないか? 修正案に基づいて実際に運用されているか? その成果はどうか? というように、個人情報を保護するためのルールが企業に浸透しているかどうかがチェックされる仕組みです。
2017年に個人情報保護法が改正されたことに合わせて、JISもそれをキャッチアップするように改正されました。
プライバシーマークの審査には文書審査や現地審査などがありますが、各段階における審査には「JIS Q 15001」に基づいた基準が作成されています。したがって今後は2006年に作られた「JIS Q 15001:2006」の2017年版である「JIS Q 15001:2017」を基に基準が作られることとなります。
個人情報保護マネジメントシステムを構築するにはコストも生じます。そのため、目に見える成果(効果)が知りたい! という率直なご意見もあると思います。そこで、この項目では、プライバシーマーク制度を運営する一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターの方々にお話をお聞きしました。プライバシーマークの取得には以下のような効果があります。
プライバシーマークを掲示することにより、取引先からの信頼が向上します。また、最近では取引先選定の条件とする傾向があり、下請けとして仕事を請け負うためにもプライバシーマークを取得する企業が増えています。また、対面ではないインターネット事業の場合、消費者が企業の実態について懸念を持つこともあります。これは、JIPDECが実施したアンケート(「マイナンバーとプライバシーマークに関する意識調査〜調査結果(概要)〜」)でも明らかであり、企業の個人情報保護に対する姿勢は、消費者にとっても購買判断の重要な要素になっています。
プライバシーマークを取得するのは1つの「機会」です。それは、企業としてどのようにお客さまの情報を管理し、保護していくのかという自覚を促す機会です。個人情報保護マネジメントシステムが機能するために、どのようなリスクが事業活動に存在し、それに対してどのように対応をすべきなのか、あらかじめどのような対処をすることが可能か。こうした数々の課題を従業員が把握することで、自社の事業がどのようなものなのかということへの理解を促し、結果として社員の士気の向上につながるという大きな効果も期待できます。
個人情報の漏洩に関するさまざまなケース(事例)が報道されていますが、いずれも第三者による侵害ではなく、社内ルールの不徹底や、資料の管理ミスなど、従業員が引き起こしてしまうヒューマンエラーに基づくものが圧倒的多数を占めていることがわかります。個人情報保護マネジメントシステムの確立は、このヒューマンエラーを未然に防ぐ、あるいは事故が発生した際に、迅速に対応できる体制を整えることができる等、個人情報の漏えい等に対するリスクを低減させる上で大変重要な意味をもっています。
プライバシーマークの取得をきっかけに、会社の業務プロセスを改善にし、お客さまを増やし、成長につなげるという視点が大切ですね。
プライバシーマーク取得までの具体的な手順や費用についてはPDFに掲載しています。
ぜひ下記よりダウンロードしてご覧ください。
This website uses cookies.