プライバシーマーク




プライバシーマークとは、一定の要件を満たした事業者などの団体(医療法人など)に対し、一般財団法人日本情報経済社会推進協会 (JIPDEC) が使用を許諾する登録商標である。




目次






  • 1 サービス概要


  • 2 運用実態


  • 3 取得方法


  • 4 取得支援会社


  • 5 取得事業者における情報漏洩問題


  • 6 指定審査機関


  • 7 脚注


  • 8 外部リンク





サービス概要


1998年4月より、商標である「プライバシーマーク」の使用の許諾が開始された。申請を行い認定されれば、プライバシーマークを自社のパンフレットやウェブサイトなど公に使用することができる。しかし、プライバシーマークを使用できる団体が、個人情報の適切な取り扱いを行っている事業所へ付与されることから、自身の主張ではない三者認証ゆえに一定の信用は得られる認証である。


近年、官公庁など公的機関の入札資格にプライバシーマーク(あるいはISMS、ISO 27001)の取得を要件とするものが増えている[1][2][3]


また、プライバシーマークは、認定個人情報保護団体の対象事業者を証明するものではないため、日本情報経済社会推進協会は、『個人情報の保護に関する法律第52条』に基づく苦情とその処理を受け付けているわけではない[4]。したがって、日本情報経済社会推進協会が認定するプライバシーマークは、個人情報保護法で定められた認定団体としての義務を果たすものではない。入札要件に同マークの取得を義務付けるケースがあるのは、認定個人情報保護団体としての認定だと誤解している機関が存在するためである(プライバシーマークは、認定個人情報保護団体が、認定外の業務を行っているに過ぎない)。



運用実態


使用許諾を得ずにプライバシーマークを掲示した団体は、一般財団法人日本情報経済社会推進協会のウェブサイトで、名称や所在地、URLなどを2年間にわたり公表される



取得方法


一般財団法人日本情報経済社会推進協会では、日本工業規格(JIS)のJIS Q 15001(個人情報保護マネジメントシステム ― 要求事項)に適合した個人情報保護体制を運用可能な状態に構築した後、所定の書類と費用を、一般財団法人日本情報経済社会推進協会あるいは後述の指定審査機関へ提出し申請する。


その後、書類審査と申請を行った団体への立ち入り審査が行われる。日本情報経済社会推進協会から改善指摘を受けた場合、申請した団体は改善の報告を行う。この報告を受け、審査員が改善の確認と審議を行い、審査合格となる。その後、申請を行った団体と一般財団法人日本情報経済社会推進協会との間で商標権使用許諾を契約を締結する。同時に事業者名が一般財団法人日本情報経済社会推進協会のウェブサイトに掲載される。


プライバシーマークを使用できる期間は2年間(有料)であり、その後さらに使用を希望する場合は更新のための審査を受け合格する必要がある。



取得支援会社


プライバシーマークの取得には膨大な時間、書類作成と社内研修の実施が義務付けられているため、民間企業によるコンサルティングを受け、取得するケースが一般的である。



取得事業者における情報漏洩問題


2006年におけるプライバシーマーク取得事業者における個人情報の取り扱いにおける事故として、JIPDEC及び他の指定機関が受け付けた報告は、439社、708件に及んだ。内JIPDECが受け付けた事故報告は651件有り、その97%は情報漏洩事故である。漏洩事故の内訳は、個人情報を含む書簡・FAX、メールの誤配による情報漏洩が405件と6割以上を占めている。また、Antinnyなどファイル交換ソフトを使ったことによる漏洩は、28件(4%)であった[5]


中でも、大日本印刷が864万件以上という過去最大(2007年3月時点)の個人情報流出事故を起こしているが、JIPDECは認定取り消しの次に重い処分である「改善要請」を出し、認定を取り消すことがなかった[6]。JIPDECは認定を取り消すよりも、制度の枠内で適切な再発防止策を講じさせるほうが有効であると結論付けているが、Pマーク自体の信頼性にもかかわる事件であり、認定を取り消すべきであると言う批判が相次く事態となった(ただし、当時の制度は、個人情報漏洩だけでは取消処分にはできないものであった)。なお、大日本印刷は当時JIPDECの賛助会員の一員であった(2010年11月現在も継続中)[7]


三菱電機インフォメーションシステムズは2000年から2010年7月まで図書館貸し出しシステムに宮崎県えびの市の図書館利用者2761名を含む約3000名の個人情報を添付した状態でパッケージとして76カ所の図書館に納品し[8]、さらにAnonymous FTPサーバをVPNなどを用いず不用意に設定したため誰でもアクセスできる状態になっていた[9]。しかし、その直後に行われたJISA 平成22年度第7回審査会でペナルティを受けることなくプライバシーマークの認定が更新された[10]。JISAは2011年1月24日付で、同社のプライバシーマーク付与認定を一時停止(2か月)にすると発表した[11]


2014年11月26日、3,504万件の個人情報漏洩を起こした「ベネッセ個人情報流出事件」に対して、ベネッセホールディングスが取得していた「プライバシーマーク認証」を取り消すペナルティを課した[12][13][14][15]



指定審査機関


一般財団法人日本情報経済社会推進協会によって指定された民間事業者団体。申請の受付・審査と付与可否の認定等を行っている。


申請する事業者が下記団体に加入しているか、特定の職種であるか、本社の登記上の所在地によっては、一般財団法人日本情報経済社会推進協会ではなく、それぞれの団体に対して審査申請する[16]




  • 一般社団法人情報サービス産業協会

  • 一般社団法人日本マーケティング・リサーチ協会


  • 公益社団法人全国学習塾協会

  • 一般社団法人全日本冠婚葬祭互助協会

  • 一般社団法人日本グラフィックサービス工業会

  • 一般社団法人日本情報システム・ユーザー協会


  • 一般財団法人日本データ通信協会

  • 一般社団法人コンピュータソフトウェア協会

  • 一般社団法人日本印刷産業連合会

  • 一般財団法人放送セキュリティセンター

  • 一般社団法人モバイル・コンテンツ・フォーラム


上記団体の会員企業の場合、加入先団体に申請する。


  • 一般財団法人医療情報システム開発センター(保健・医療・福祉関連業種の申請先)

  • 一般社団法人北海道IT推進協会(北海道に本社のある会社の申請先)


  • 特定非営利活動法人みちのく情報セキュリティ推進機構(東北地方に本社のある会社の申請先)

  • 一般社団法人中部産業連盟(愛知県、岐阜県、三重県、富山県、石川県に本社のある会社の申請先)

  • 一般財団法人関西情報センター(大阪府、京都府、福井県、滋賀県、兵庫県、奈良県、和歌山県に本社のある会社の申請先)

  • 特定非営利活動法人中四国マネジメントシステム推進機構(中国・四国地方に本社のある会社の申請先)


  • 公益財団法人くまもと産業支援財団(九州・沖縄地方に本社のある会社の申請先)



脚注


[ヘルプ]




  1. ^ 一般競争入札公告 平成25年度 東北総合通信局労働者派遣によるオフィスワーク


  2. ^ 入札公告 平成25年度自主参加型国内排出量取引運営事業委託業務


  3. ^ 平成29年度にんしんSOSヨコハマ運営等業務委託


  4. ^ プライバシーマーク使用許諾の貸与機関における苦情相談等の対応手順


  5. ^ 「平成18年度の個人情報の取扱いにおける事故報告にみる傾向と注意点」、JIPDEC、2007年6月11日


  6. ^ 「個人情報の事故で大日本印刷株式会社に「要請」処分」、JIPDEC、2007年3月23日


  7. ^ 賛助会員一覧 - JIPDEC


  8. ^ 三菱電機:子会社システムで3000人の個人情報流出 毎日jp 2010年11月30日


  9. ^ えびの市民図書館ホームページにおける個人情報流出のお詫び えびの市教育委員会


  10. ^ 平成22年度第7回審査会 JISA社団法人情報サービス産業協会


  11. ^ 三菱電機インフォメーションシステムズ株式会社に対するプライバシーマーク付与認定の一時停止措置について JISA社団法人情報サービス産業協会


  12. ^ “ベネッセ社長「鍵かけても開けられる」 顧客情報流出”. 朝日新聞. (2014年7月12日). オリジナルの2015年6月15日時点によるアーカイブ。. https://web.archive.org/web/20150615155521/http://www.asahi.com/articles/ASG7C55XRG7CULFA00Y.html 


  13. ^ 株式会社ベネッセコーポレーションへの措置通知について JIPDEC


  14. ^ “ベネッセ:プライバシーマーク取り消し”. 毎日新聞. (2014年11月26日). http://mainichi.jp/feature/news/20141126mog00m040005000c.html 


  15. ^ 大豆生田 崇志 (2014年11月26日). “ベネッセのプライバシーマーク取り消し、JIPDEC”. ITPro (日経BP). http://itpro.nikkeibp.co.jp/atcl/news/14/112602031/ 2017年5月22日閲覧。 


  16. ^ TOP > 申請手続き > 新規申請方法 > 2.申請




外部リンク



  • プライバシーマーク制度

  • 日本情報経済社会推進協会

  • プライバシーマーク取得・更新ガイド




Popular posts from this blog

CARDNET

Boot-repair Failure: Unable to locate package grub-common:i386

濃尾地震