ポイント:プライバシーマーク、個人情報保護法、JIS Q 15001、PDCAサイクル
インプルーブ有限会社主催の「プライバシーマーク取得ノウハウセミナー」に参加させていただいた。非常にわかりやすく「なぜプライバシーマークが必要なのか」とても良くわかる内容であった。
来年4月より個人情報保護法が全面施行となる。経済産業省は企業が持つ個人情報が流出した際に法に触れるかどうかの基準を具体的に示す指針を公表した。どのようなデータが個人情報に当たるかを明記し法律違反となる場合は改善命令や罰金など処罰を科すとしている。個人情報保護法は、取り扱う個人情報が5000人以上の企業が「個人情報取扱事業者」であり、個人情報保護法の該当企業となる。しかし、扱うデータが5000人以下であっても、個人情報保護は無関係ではない。個人情報保護への意識の高まりとともに、万が一個人情報が漏洩した場合、企業の社会的信用は失墜するであろう。
ただし、どんなに情報セキュリティを強化しても、完璧ということはありえない。たった一人の悪意のある行動によって個人情報の漏洩ということは考えられる。このような個人情報漏洩が起こった場合に需要なのは「法の指針を守っていたかどうか」が重要となる。指針を守っていたかを経済産業省が調査をし、守っていなければ罰則が科され、守っていれば「不可抗力であり事故がおきても処分されない」としている。個人情報が漏洩することがあってはならないのはもちろんのことだが、リスク回避策として、個人情報保護法の定める指針を遵守する仕組みが社内には必要であるといえる。
では、個人情報保護法の定める指針を遵守する仕組みはどのようにつくればいいのであろうか。これがプライバシーマークの取得することとほぼ一致する。プライバシーマークとは日本工業規格の定めるJIS Q 15001の規格をクリアした企業にJIPDECがプライバシーマークを与えるものである。個人情報保護法の定める指針よりは、JIS Q 15001の方が定める範囲が広い。つまり、JIS Q 15001の規格にのっとった仕組みつくりをすれば、個人情報保護法の定める指針もクリアできると言うことである。
JIS Q 15001は基本的にISO9001の考え方と同じである。個人情報保護マネジメントシステム(ISO9001なら品質マネジメントシステム)の規格にのっとり、各事業者はコンプライアンスプログラムを構築、継続的改善を行っていこうというものである。つまり個人情報保護に関するPDCAサイクルをまわす仕組みを作ろうというものである。ISO9001に比べ、文書審査の比重が高く、現地審査は半日ほどで終わってしまうらしい。(ただ準備はISO9001と同じく大変そうである。)
いま、プライバシーマークの取得に熱い業種は、情報サービス業は当然として、名刺、名簿などを印刷する印刷・出版業、広告業、患者のプライバシー保護は必須の医療福祉、その他様々な業種が取り組んでいるようだ。個人情報が漏洩してしまってからでは手遅れである。手遅れになる前に手を打っておくべきである。なお、JIS Q 15001は過剰な(完璧な)個人情報保護のしくみは求めていない。その企業にあった合理的なしくみができていればよいとしている。
関連コラム
個人情報保護の漏洩対策コストと積極活用コスト2005年1月23日記述
プライバシーマークの必要性について 2004年11月日記述
2004年11月1日 宿澤直正 記
Copyright (C) 2005 宿澤経営情報事務所