個人情報保護法とプライバシーマークについて

05.10.26.
以前に ある会社の社長さんに、“ISOマネジメントが専門なら これは知ってますか？”と言われて　示されたのが、“プライバシー・マーク”についてでした。とりあえず、必死になって無料のセミナーを捜して　行ってきました。
そのセミナーの内容は大略次のようでした。

‐“個人情報”とは“生存する個人に関する情報であって、当該情報に含まれる氏名，生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)”をいう。

‐検索可能な個人情報を過去6ヶ月間一度でも5千件を越えて用いたことのある業者は“個人情報取扱事業者”として個人情報保護法の定める義務を負う。“個人情報取扱事業者”とは“個人情報データベース等を事業の用に供している者”。

‐個人情報保護法；第1～3章は2年前に施行され、基本法としての性格を持つ。“第4章個人情報取り扱い事業者の義務等”及び第5～6章は05年4月から施行され、一般法としての性格を持つ。

-“個人情報”の中には“個人データ”が含まれ、“個人データ”の中には“保有個人データ”が含まれる。各々特有の遵守義務があるので“保有個人データ”が　最も厳しい義務を負うことになる。

-個人情報の安全管理措置には“組織的”，“人的”，“物理的”，“技術的”措置がある。（特に、組織的措置ではISO14001に対応する場合とよく似た組織体制をとる。）

‐プライバシー・マーク；“個人情報保護に関するコンプライアンス・プログラムの要求事項 JIS Q 15001”に適合した仕組を整備し、活動が適合している事業者を第三者機関＊が評価・認定し、認定ロゴの使用を許諾する制度。2年毎に更新。

＊業種毎に認証機関が異なり、(財)日本情報処理開発協会JIPDEC→一般事業者,(社)情報サービス産業協会,(社)日本マーケティング・リサーチ協会,(社)全国学習塾協会,(財)医療情報システム開発センター→医療機関 がある。

‐認証件数；’98/58件, ’99/71件, ’00/96件, ’01/120件, ’02/172件, ’03/286件, ’04/204件 計1,007件 中規模の情報関連会社や学習塾,印刷業者から メガバンクに取得事業者が変化してきている。(まだまだ少数です。)

‐認証のためのプログラム；ISO14001と殆ど同じで 上記のJIS Q 15001の表題にあるように“コンプライアンス・プログラムの要求事項”の遵守である。

- JIS Q 15001とISMS(情報セキュリティ・マネジメント・システム)と決定的に異なるのは 法律によって規定された“個人に関する情報”は 全て管理対象になる、ということで、ISMSのように自ら どの情報を管理対象にするかを決めるところが 全く違う。

概ね　以上のような内容でした。面白いのが、業界毎に 認証機関が定められていることです。さすがに お役人の考えることは競争させない原理。既得権益保護の原則が 作用しています。“仲良きことは 美しき哉”の原則。

法律は遵守義務があります。法律を守るためにJIS Q 15001要求事項の手順を踏んで下さい、と言うことです。こう言うと何だか 妙な気分ですが、環境マネジメント・システムJIS Q 14001(ISO14001)が　適用される環境関連法規制を遵守する手順であることを　ご存知ならこれと同じイメージです。
従って、プライバシー・マーク取得のためのプログラムは　ISO14001の認証プログラムと同様の手順になる訳です。
法体系というか法律が複雑になり過ぎてきています。これを　整理して遵守し易い体制を作ろうというもののようだと、了解しました。