HOME > ISO構築/有効性向上教育研修 > JISQ15001(Pマーク)

個人情報保護マネジメントシステム(PMS)規格
JISQ15001(プライバシーマーク)

PJCではセミナーも開催しております。セミナーに関する詳しい情報は情報セキュリティセミナーのページをご覧ください。

プライバシーマーク制度(JISQ15001)とは

プライバシーマーク制度は、JISQ15001規格に基づいた個人情報保護マネジメントシステムを整備・運用している事業者を認定し、プライバシーマークを事業活動に使用することを認める制度です。

この制度は「個人情報に関するコンプライアンス・プログラムの要求事項(JISQ15001)」として、1999年3月20日に制定されました。プライバシーマーク付与の認定を受けたい事業者は、プライバシーマーク制度の趣旨に賛同し、JIS Q 15001に準拠したコンプライアンス・プログラム(JIS Q 15001の要求事項を適用した個人情報保護マネジメントシステム)を構築、運用することが求められます。

プライバシーマークを付与された事業者は、「当社にあなたの個人情報を預けても、それが外部に漏れたり、改ざんされたりする危険はありません」と、個人情報提供者(情報主体)を安心させることができます。

万が一、認定を受けている事業者が個人情報の取扱いに関する事故等を起こした場合は、その軽重にかかわらずプライバシーマーク認定団体に報告義務があり、適正な指導・処分の措置を受けることになります。措置の区分は以下のとおりです。

措置の区分

欠格レベル欠格レベルごとの対応
認定事業者審査中事業者申請検討中事業者
10取消し否認決定1年間の申請不可
8・9一時停止一時停止期間に該当する
期間審査中止
一時停止期間に該当する
期間申請不可
6・7勧告文書発行審査続行申請可
1-5注意文書発行審査続行申請可
0処分なし審査続行申請可

欠格性判断基準は、個人情報の取扱いに関して発生した「事象」と「原因」の組み合わせで基準値を設定します。

事象
漏えい
紛失
破壊
改ざん
不正取引
目的外利用・提供
不正使用
×
原因
個人情報マネジメントシステム(PMS)の
不適切な運用

内部犯行


外的要因
基準値
10
8・9
6・7
1~5

プライバシーマーク付与認定事業者は、個人情報保護マネジメントシステムの整備状況と運用状況について、有効性の確保を求められます。
一回の認定によるプライバシーマーク付与の有効期間は、2年間です。
ただし、更新の手続きによって2年間ずつ延長を行うことができます。

更新申請は、有効期間の終了する8ヶ月前から4ヶ月前まで の間に行わなければなりませんので、注意が必要です。

更新審査では、2年分の教育と監査の実績記録の提出が必須です。また、2006年度版への移行が未対応の企業は、2006年度版の規格要求事項に対応した手順の策定と手順書作成、教育訓練実施、運用開始、記録作成と保管、内部監査員教育、内部監査実施、改善計画の実施と完了、マネジメントレビューの実施が必要となります。

運営機関

財団法人 日本情報処理開発協会(以下JIPDEC)が付与機関として運営を行っています。また、個人情報を取り扱う民間事業者を会員とする事業者団体がJIPDECの指定を受けてプライバシーマーク付与の認定を行う組織(付与認定指定機関)となっています。現在の指定機関は次の15団体です(2014年1月現在)。

  • 一般社団法人 情報サービス産業協会[JISA]
  • 一般社団法人 日本マーケティング・リサーチ協会[JMRA]
  • 公益社団法人 全国学習塾協会[JJA]
  • 一般財団法人 医療情報システム開発センター[MEDIS-DC]
  • 一般社団法人 全日本冠婚葬祭互助協会[全互協]
  • 一般社団法人 日本グラフィックサービス工業会[JaGra]
  • 一般社団法人 日本情報システム・ユーザー協会[JUAS]
  • 公益財団法人 くまもと産業支援財団[KPJC]
  • 一般社団法人 中部産業連盟[中産連]
  • 一般財団法人 関西情報センター[KIIS]
  • 一般財団法人 日本データ通信協会[JADAC]
  • 一般社団法人 コンピュータソフトウェア協会[CSAJ]
  • 特定非営利活動法人 みちのく情報セキュリティ推進機構[TPJC]
  • 一般社団法人 日本印刷産業連合会[日印産連]
  • 一般財団法人 放送セキュリティセンター[SARC]
  • 一般社団法人 北海道IT推進協会[DPJC]
  • 特定非営利活動法人 中四国マネジメントシステム推進機構[TPJC]
  • 一般社団法人 モバイル・コンテンツフォーラム[MCF]

プライバシーマーク制度の歴史

1980年代以降、科学技術の発展によりコンピュータ・ネットワークは目を見張る速さで拡大し続けています。人々は、好むと好まざるにかかわらず情報ネットワーク環境に巻き込まれざるを得ない状況となりました。システムの発展と、プライバシー・個人情報の保護を両立させることは、今日の社会で大きな課題であるといえます。

1980年にOECD(経済協力開発機構)より「プライバシー保護と個人データの国際流通についての理事会勧告(OECDプライバシー・ガイドライン)」が出されました。この勧告に強制力はありませんでしたが、各自国内の法律の中でプライバシー保護を考慮することを求めています。後に、そこで示された8原則(1.収集制限の原則、2.データ内容の原則、3.目的明確化の原則、4.利用制限の原則、5.安全保護の原則、6.公開の原則、7.個人参加の原則、8.責任の原則)が反映され、1995年に欧州連合(EU)で「個人データ処理に係る個人情報の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令(EU指令)」が採択されました。ここにおいて個人情報保護制度が確立されていない地域には個人情報を流してはならないという制限が設けられ、よって日本においても個人情報保護システムを整備するにあたって、これらの国際的な動きを十分留意する必要があります。

日本では1988年に公的部門(国の行政機関)のみを対象とする「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が制定されました。また民間部門に関しては、1989年に通商産業省(現:経済産業省)より「民間部門における電子計算機処理に係る個人情報保護について(旧ガイドライン)」の指針が提示され、それが後に改定され、1997年に「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」が告示(第98号)されるに至りました。

「プライバシーマーク制度」はそのガイドラインに基づいたJIPDECの「プライバシーマーク制度設置及び運営要領」によって、1998年に始まりました。その後、1999年、日本工業規格「個人情報に関するコンプライアンス・プログラムの要求事項」(JISQ15001)が制定されたため、それに伴いJIPDECは「プライバシーマーク制度」をJISQ15001の第三者認証制度へ移行する旨を公表しました。

つまり現在の「プライバシーマーク制度」はJISQ15001規格に準拠しており、JIPDECがJISQ15001との適合性を評価する第三者機関として制度を運用するという形をとっています。