個人情報保護マネジメントシステム（PMS）規格
JISQ15001（プライバシーマーク）

プライバシーマーク（JISQ15001） コンサルティングサービス

PJCの「完全サポート型A to Zプログラム」では、貴社の個人情報保護マニュアルや規定書など規格で要求されている文書を、経験豊かなコンサルタントが作成いたします。また、貴社がスムーズに効果的なコンプライアンス・プログラムを実践し、内部監査の実施及び是正処置を行うのをお手伝いいたします。米国、日本をはじめ世界各国で、多数の顧客がPJCの「完全サポート型A to Zプログラム」を活用し、短期間で認証取得を達成しています。

弊社のコンサルタントは、より高度なサービスを提供するために研修を受けています。コンサルタントの多くは、情報処理サービスの分野で豊富な経験を持ち、JISQ15001及びISO9001適合のための要求事項である文書（プログラム、マニュアル、規定書）の作成や、従業員の方を対象とする実践的かつわかりやすいプライバシーマークの研修実施のお手伝いをします。

ペリージョンソンコンサルティング株式会社のコンサルティングは、

さらに、弊社コンサルタントは、貴社のコンプライアンス・プログラムに対する文書審査やコンプライアンス・プログラムの実践状況を検証するための、実地模擬審査を行います。また、貴社のコンプライアンス・プログラムが継続的に規制当局の基準と適合することを確実にするため、定期的に貴社のシステムを点検いたします。

PJCではセミナーも開催しております。セミナーに関する詳しい情報は情報セキュリティセミナーのページをご覧ください。

プライバシーマーク制度（JISQ15001）とは

プライバシーマーク制度は、JISQ15001規格に基づいた個人情報保護マネジメントシステムを整備・運用している事業者を認定し、プライバシーマークを事業活動に使用することを認める制度です。

この制度は「個人情報に関するコンプライアンス・プログラムの要求事項（JISQ15001）」として、1999年3月20日に制定されました。プライバシーマーク付与の認定を受けたい事業者は、プライバシーマーク制度の趣旨に賛同し、JIS Q 15001に準拠したコンプライアンス・プログラム（JIS Q 15001の要求事項を適用した個人情報保護マネジメントシステム）を構築、運用することが求められます。

プライバシーマークを付与された事業者は、「当社にあなたの個人情報を預けても、それが外部に漏れたり、改ざんされたりする危険はありません」と、個人情報提供者（情報主体）を安心させることができます。

万が一、認定を受けている事業者が個人情報の取扱いに関する事故等を起こした場合は、その軽重にかかわらずプライバシーマーク認定団体に報告義務があり、適正な指導・処分の措置を受けることになります。措置の区分は以下のとおりです。

措置の区分

欠格性判断基準は、個人情報の取扱いに関して発生した「事象」と「原因」の組み合わせで基準値を設定します。

プライバシーマーク付与認定事業者は、個人情報保護マネジメントシステムの整備状況と運用状況について、有効性の確保を求められます。
一回の認定によるプライバシーマーク付与の有効期間は、2年間です。
ただし、更新の手続きによって2年間ずつ延長を行うことができます。

更新申請は、有効期間の終了する4ヶ月前から3ヶ月前までの間に行わなければなりませんので、注意が必要です。

更新審査では、2年分の教育と監査の実績記録の提出が必須です。また、2006年度版への移行が未対応の企業は、2006年度版の規格要求事項に対応した手順の策定と手順書作成、教育訓練実施、運用開始、記録作成と保管、内部監査員教育、内部監査実施、改善計画の実施と完了、マネジメントレビューの実施が必要となります。

運営機関

財団法人 日本情報処理開発協会（以下JIPDEC）が付与機関として運営を行っています。また、個人情報を取り扱う民間事業者を会員とする事業者団体がJIPDECの指定を受けてプライバシーマーク付与の認定を行う組織（付与認定指定機関）となっています。現在の指定機関は次の15団体です（2008年12月現在）。

プライバシーマーク制度の歴史

1980年代以降、科学技術の発展によりコンピュータ・ネットワークは目を見張る速さで拡大し続けています。人々は、好むと好まざるにかかわらず情報ネットワーク環境に巻き込まれざるを得ない状況となりました。システムの発展と、プライバシー・個人情報の保護を両立させることは、今日の社会で大きな課題であるといえます。

1980年にOECD（経済協力開発機構）より「プライバシー保護と個人データの国際流通についての理事会勧告（OECDプライバシー・ガイドライン）」が出されました。この勧告に強制力はありませんでしたが、各自国内の法律の中でプライバシー保護を考慮することを求めています。後に、そこで示された8原則（1.収集制限の原則、2.データ内容の原則、3.目的明確化の原則、4.利用制限の原則、5.安全保護の原則、6.公開の原則、7.個人参加の原則、8.責任の原則）が反映され、1995年に欧州連合（EU）で「個人データ処理に係る個人情報の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令（EU指令）」が採択されました。ここにおいて個人情報保護制度が確立されていない地域には個人情報を流してはならないという制限が設けられ、よって日本においても個人情報保護システムを整備するにあたって、これらの国際的な動きを十分留意する必要があります。

日本では1988年に公的部門（国の行政機関）のみを対象とする「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が制定されました。また民間部門に関しては、1989年に通商産業省（現：経済産業省）より「民間部門における電子計算機処理に係る個人情報保護について（旧ガイドライン）」の指針が提示され、それが後に改定され、1997年に「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」が告示（第98号）されるに至りました。

「プライバシーマーク制度」はそのガイドラインに基づいたJIPDECの「プライバシーマーク制度設置及び運営要領」によって、1998年に始まりました。その後、1999年、日本工業規格「個人情報に関するコンプライアンス・プログラムの要求事項」（JISQ15001）が制定されたため、それに伴いJIPDECは「プライバシーマーク制度」をJISQ15001の第三者認証制度へ移行する旨を公表しました。

つまり現在の「プライバシーマーク制度」はJISQ15001規格に準拠しており、JIPDECがJISQ15001との適合性を評価する第三者機関として制度を運用するという形をとっています。

PJCビジネスセミナー

弊社では様々な分野のセミナーを予定しております。内部監査や業務改善といった基本部分からＩＴ統制や事業継続計画等の新しい手法まで、経験豊富なコンサルタントがわかりやすく解説いたします。