お問い合わせいただいた方にもれなく、本コラム、パーフェクトガイド「Pマーク完全攻略法」をまとめたガイドブック(A4サイズ 本文37ページ PDFデータ)を差し上げています。
第1章 個人情報保護法とプライバシーマーク
1、プライバシーマーク(Pマーク)ってなに。
このPマーク攻略ページは、基本的に企業経営者の方や、あるいは勤めていらっしゃる方で、プライバシーマークを取得する必要に迫られて しまった方々を対象にしています。
ですので、プライバシーマーク(Pマーク)については、一通りの知識をお持ちだと思いますが、あらためてPマークとは何かを確認してお きましょう。
(1)Pマークとは
日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定し、(中 略)事業者が自らの事業の用に供する個人情報について、その有用性に配慮しつつ、個人の権利利益を保護するための仕組み。
判りにくい文章ですが、ポイントは、「有用性に配慮しつつ、個人の権利利益を保護」するというところです。有用性に配慮しつつという文 言が何を意味しているかというと、ズバリ、「個人情報をビジネスで活用するため」といっていいでしょう。
つまり、Pマーク、そして個人情報保護法は、個人情報の商用利用を円滑にするために誕生したものなんですね。
では、個人の権利利益を保護しつつビジネスを円滑にするとは、どういうことなんでしょうか。
(2)Pマークは、何を護る
事業の用に供するお客様の個人情報、そして従業員の個人情報(インハウス情報)を守る仕組みであり、個人の人権保障と、個人情報という企業の情報資産保護というふたつの視点から個人情報を護る。
このようにPマークは、お客様の個人情報だけでなく、従業員の個人情報も保護の対象としているところに大きな特徴があります。お客様も従業員も等しく人権が護らなければならない、ということでしょう。
さらに、人権保障と情報資産保護(いわゆるセキュリティ)の二つの視点から、個人情報の保護の仕組みを構築していくことが要求されていることも、Pマークの特徴といっていいでしょう。
①PMSの人権保護
- 適正な取得 適法かつ公正な手段で取得。
- 利用目的の制限 利用目的をできるだけ特定し、その目的の達成に必要な限度で行う。
- 開示等への対応(個人参加の確保) 本人からの利用目的の利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を求められた場合は、これに応じる義務。
②情報資産
- 正確性の確保(情報の信頼性)←人権保障でもある 利用目的の達成に必要な範囲内において、正確かつ最新の状態で管理。
- 適正な安全管理 組織的・人的・物理的・技術的安全管理措置・委託先に対する管理・監督
- 安全管理体制の継続的発展 社会情勢や技術の進歩、取り扱う個人情報の変化に応じた管理体制の向上
(3)Pマークを取得する意味とメリット
Pマークに適合した個人情報保護の仕組みを導入することによって、私たちは、安心して個人情報を取り扱うことができます。
さらに、Pマークを取得することによって、対内的にはセキュリティに関する意識の向上が得られるとともに、対外的には社会的信用の向上や、企業としてのイメージアップを図ることができます。
2 業種別のプライバシーマークの特徴
ひとことでプライバシーマークといっても、取り扱う個人情報の種類や処理プロセスに応じて、業種ごとに様々な特徴があります。
例えば、システム会社で個人情報そのものはそんなに扱わないが、個人情報を取り扱うシステムを構築しているといった場合には、システムの機密性・完全性やパスワード、web入力システムのセキュリティ保護などが保護の中心になってくるでしょう。また、ネット通販を行っている会社では、出入力系のwebシステムのセキュリティとあわせて、顧客情報を取り扱うデータベースのセキュリティが特に重要になってきます。
またPマーク取得意欲の高い業種である印刷分野では、一般的に印刷物だけでなく、ネット通販やメルマガ発行管理などのCRMの受託を行っているケースも多く、個人情報の取り扱いの流れが複雑であり、取り扱う個人情報の種類と機密性も、名刺から請求書、個人誌まで極めて複雑、多岐なのが実情です。
3 Pマークは何を護る?
(1)個人情報ってなに
「個人情報ってなに」と聞かれても、はっきり明確に答えられる方は、そうはいないのではないでしょうか。名前や住所、電話番号…。何故、個人情報を護らなければならないか、をキチンと理解している方はさらに少ないと思います。たいていは、プライバシーだから…といった抽象的な答えになるのではないでしょうか。
これについて、個人情報保護法ではどう定義しているかというと…。
①個人情報とは(Pマークの定義)
個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるものをいう。
とあります。ところが、個人情報保護法とPマークでは、個人情報の定義が微妙に違うんですね。
②個人情報とは(個人情報保護法の定義)
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
どこが違うかというと、保護法では、「生存する個人に関する情報であって」と限定しているのに対し、Pマークでは、限定していないというところ。
ちょっとした違いなんですが、Pマークを構築する際に、よく混乱するところでもあります。さらに混乱することに、印刷会社が個人情報保護法やプライバシーマークの規格とならんで遵守しなければならないものに、経産省のガイドラインがあるんですが、そこでどう定義しているかというと、
③個人情報とは(経済産業省ガイドラインより)
生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問いません。
とあり事例として、下記をあげています。
- 【個人情報に該当する事例】
- 事例1)本人の氏名
- 事例2)生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報
- 事例3)防犯カメラに記録された情報等本人が判別できる映像情報
- 事例4)特定の個人を識別できるメールアドレス情報(keizai_ichiro@meti.go.jp等のようにメールアドレスだけの情報の場合であっても、日本の政府機関である経済産業省に所属するケイザイイチローのメールアドレスであることがわかるような場合等)
- 事例5)特定個人を識別できる情報が記述されていなくても、周知の情報を補って認識することにより特定の個人を識別できる情報
- 事例6)雇用管理情報(会社が従業員を評価した情報を含む。)
- 事例7)個人情報を取得後に当該情報に付加された個人に関する情報
- 事例8)官報、電話帳、職員録等で公にされている情報(本人の氏名等)
- 【個人情報に該当しない事例】
- 事例1)企業の財務情報等、法人等の団体そのものに関する情報(団体情報)
- 事例2)記号や数字等の文字列だけから特定個人の情報であるか否かの区別がつかないメールアドレス情報(例えば、abc012345@xyzisp.jp。ただし、他の情報と容易に照合することによって特定の個人を識別できる場合は、個人情報となる。)
- 事例3)特定の個人を識別することができない統計情報
個人情報の定義自体は、Pマークに近いですね。
じゃあ、われわれは、何に従えばいいかというと、当然、一番、厳格なPマークに従うことになっています。
さらに、Pマークでは、個人情報の中でも、特に注意して取り扱わなければならないものとして、特定機微情報をあげています。これも保護法にはない定義ですので、混乱しないように注意が必要です。
(2)特に注意を要する個人情報=特定機微(センシティブ)情報
センシティブ情報とは、個人情報の中でも、特に取り扱いに注意を要する情報で、滅失(失われること)や漏洩、あるいは情報自体が間違っていることで、個人情報の本人に多大な不利益を与えるもの。その中でも一番判り易いのは、病歴でしょうか。
御社が病歴を含んだ個人情報の管理を受託していて、もし、その情報が外部に漏洩してしまったらどうなるでしょう。
まず一番ありそうなのが、その方が、生命保険に入れなくなったり、あるいは、保険料が、漏洩しない場合より高くなったり。そのほか、就職や結婚に不利になったりするケースもありうるでしょう。
プライバシーマークでは、特定機微情報として、以下の五項目をあげています。
- 思想・信条・宗教に関する情報
- 人種・民族・出生地・本籍地。身体障害・精神障害・犯罪歴・社会的差別の原因となる情報
- 労働運動への参加状況
- 政治活動への参加状況
- 保健医療や性生活
さらに、これ以外にも特別に注意を要する個人情報としては、
- 考課情報
- 給与や資産に関する情報
- 自宅の住所や電話番号
- 家族に関わる情報
などがあります。これらは、特別な取り扱いが要求されるだけでなく、個人情報の取得に際しても、本人の文書による同意が必要となります。
4 個人情報は誰のもの
個人情報保護法が施行される前でしたら、「個人情報は誰のもの?」と聞かれても、ほとんどの人が「?」で、質問の意味さえわかってもらえなかったでしょう。ところが、個人情報保護法により、人びとの意識が大きく変化しました。かつては、個人情報は取得した企業の財産として認識され、取得した個人情報を合法的に使っている限り、問題にされることや削除を要求されることはほとんどありませんでした。
今では、たとえ、企業が苦労して取得した個人情報であっても、企業が勝手に利用することは難しくなっています。 例えば、電話セールス。以前だったら「なんかイヤだな」という不快感を覚える程度だったものが、今では、「私の電話番号をどこで知ったんですか、御社のリストから私のデータを削除してください」といった強い反応も珍しくなくなりました。
このように、個人情報保護法の施行以来、個人情報を企業のものではなく、その情報の本人のものであるという認知が大きく広がってきています。さらに、個人情報保護法により、私たちが、自分に関する情報がどこにあるかを把握し、利用の可否や使われ方、内容の正確性などをコントロールする自己コントロール権を持つことが保障されるようになりました。