プライバシーマーク認証取得コンサルティング、お客様の規模や事情に合った適切なコンサルティング


プライバシーマークに関するご質問

プライバシーマーク認証取得コンサルティングに関するよくあるご質問をまとめました。

Q. プライバシーマークとは何ですか?

個人情報について適切な保護措置を講ずる体制を整備していると判断された組織に対して、「一般財団法人日本情報経済社会推進協会(通称JIPDEC)」より付与されるマークの事をいいます。

【参考】JIPDECホームページ:https://privacymark.jp/

Q. 個人情報とはどのような情報ですか?

プライバシーマーク制度における要求事項であるJISQ15001では、
「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述によって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む)」とされています。
例えば、個人を識別できるようであれば、メールアドレスなども対象となります。

ただし、個人情報の保護に関する法律(個人情報保護法)とは若干定義が異なりますので、ご注意ください(個人情報保護法では生存している個人の情報が対象ですが、JISでは死去されている個人の情報も対象となる等)。なお、その他にも、JISでは、個人情報保護法よりも厳格な定義がなされている論点があります。

プライバシーマーク認証取得コンサルティングに戻る

プライバシーマーク認証取得に関するご質問

Q. プライバシーマークを取得したら、どのようなメリットがありますか?

メリットには二面性があります。

1.マークを取得すること自体のメリット

2.マークを取得するための過程のメリット

Q. プライバシーマークは従業者2人の企業でも取得可能ですか?

最低2人の従業者がいらっしゃれば取得可能です。

プライバシーマーク取得するためには、「個人情報保護管理者」「監査責任者」を兼任せずに任命する必要があるからです。なお、従業者には役員、出向者、アルバイトなども含まれます。

Q. 専従者は必要ですか?

必須ではありませんが、専従できるということはより多くの時間をプロジェクトに割けるということなので、短期間でマークを取得することができるかもしれません。

なお、過去事例で専従者を設置されたケースは、ほとんどありません。弊社では取組体制に応じて支援内容を調整しております。

Q. 拠点単位や部門単位でも取れますか?

ISOとは違い適用範囲という概念がありません。そのため、必ず組織全体を対象とする必要があります。

Q. プライバシーマークをなるべく負荷をかけずに取得するためのポイントは何ですか?

難しい論点ですが、負荷を減らすという考え方ではなく、「負荷を増やさない=身の丈で取り組む」ことが重要です。どちらかと言えば裁量の余地が少ない制度なのですが、やりようはあります。

取組開始時点で既に要求に適合している論点もあるはずなので、それらを生かした取組をすることもできます。

難しいのは、「どこまでやれば適合と言えるのか」という判断です。事業内容その他環境によっても変わることがありますので、ご支援の際にはそれを加味してご提案やアドバイスをさせていただきます。

Q. 支援の追加費用が発生することはありますか?

当初の前提よりも対象事業、組織規模が拡大したりすることによって、支援範囲や支援内容が変更になった場合は、追加料金を頂戴することがあります。

Q. オフィスを他社と共用しておりますが、マーク取得は可能でしょうか?

オフィスを他社と共有しているというだけでマークが付与されないということはありません。物理環境がネックになるケースは稀です。ただし、その環境に応じたリスク対策が必要となります。
本ケースだと、例えば該当する他社と、

  • 秘密保持契約などを交わす
  • 物理環境にまつわるルールを共有する
  • 現地監査を行う

といったような対応が有り得ますが、全てを実施する必要はありません。逆に他の対策を考える必要があるかもしれません。オフィスを移転されたり、新たに設置されるタイミングで、レイアウトなどのご相談をいただくこともあります。

Mustは無くともBetterはありますので、気になる場合はご相談ください。

Q. 文書量はどのくらいになりますか?

ケースバイケースで変わりますが、数百ページになるようなケースは稀です。例えば、組織の規模が大きな企業だと、関連するその他の内規の量が多くなり、結果的に文書ボリュームが大きくなることはありますが、通常は、規程単体で見ればせいぜい数十ページ程度です。それに記録様式が加わっていくとお考えください。また、閲覧のし易さや他の内規との関連で、分冊したりしなかったりといった違いは生じます。

Q. 事故を起こしてしまった場合、プライバシーマークの取得や更新が難しくなりますか?

「事故を起こした=プライバシーマークが付与されない、更新できない」というわけではありませんが、審査申請を受理されないケースがあります。

また、既にプライバシーマークが付与されている場合、事故の社会的影響をJIPDECが評価し、場合によっては使用許諾が取り消されることがあります。

Q. 審査で落ちることはありますか?

一般論で言えば有り得ます。

例えば、内部監査を行っていない等、そもそも要求事項に適合していないような分かり易いケースはもちろんですが、注意喚起の意味をこめて「主体性がないと判断された場合」という例が公表されています。

【参考】JIPDECホームページ:http://privacymark.jp/news/2015/0130/index.html

プライバシーマーク認証取得コンサルティングに戻る

プライバシーマークの取得後に関するご質問

Q. プライバシーマーク取得後のコンサルティングにはどのようなものがありますか?

プライバシーマーク取得後の主だったコンサルティング内容は、内部監査実施、従業者教育実施、代表者による見直しの実施支援などさまざまです。

Q. プライバシーマーク付与契約を解除されることはありますか?

付与契約を解除(または「はく奪」ということもあります)されることはあります。過去には、大量の個人情報を流出・漏えいしたケースで付与契約を解除された事例があります。

なお、事件・事故を起こしたことが即付与契約解除につながるわけではなく、JIPDECによる事件・事故の重大性判断の結果によります。

プライバシーマーク認証取得コンサルティングに戻る

コンサルティング契約に関するご質問

Q. 契約の前に、コンサルタントと顔合わせができますか?

ご要望があれば、事前に顔合わせさせていただきます。

Q. コンサルタントを乗り換えることはできますか?

承ります。なぜ、そのコンサルタントを乗り換えたいのかを教えてください。

プライバシーマーク認証取得コンサルティングに戻る

資料請求

まずは、お電話もしくはフォームより、お問い合わせ、もしくは資料請求をください。