プライバシーマークに関するご質問Q&A

プライバシーマークに関するよくあるご質問をQ&Aとしてまとめました。

Q. プライバシーマークとは？

プライバシーマーク（Pマーク）とは、個人情報について適切な保護措置を講ずる体制を整備していると判断された組織に対して、「一般財団法人日本情報経済社会推進協会（通称JIPDEC）」より付与されるマークの事をいいます。

【参考】JIPDECホームページ：https://privacymark.jp/

Q. 個人情報とはどのような情報ですか？

プライバシーマーク制度における要求事項であるJIS Q 15001では、「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述によって特定の個人を識別できるもの（他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む）」とされています。例えば、個人を識別できるようであれば、メールアドレスなども対象となります。

ただし、個人情報の保護に関する法律（個人情報保護法）とは若干定義が異なりますので、ご注意ください（個人情報保護法では生存している個人の情報が対象ですが、JISでは死去されている個人の情報も対象となる等）。なお、その他にも、JISでは、個人情報保護法よりも厳格な定義がなされている論点があります。

Q. ISO27001との違いは何ですか？

プライバシーマークが個人情報の保護をテーマとしているのに対して、ISO27001は、情報セキュリティリスクのマネジメントをテーマとしております。また、ISO27001で言う情報資産は、個人情報を含んだ情報全般を対象としています。

Q. 個人情報の目的外利用には、主にどのような事例がありますか？

「社員の顔写真を、社員の同意を得ずにホームページに掲載すること」などは、よくある目的外利用です。

ただし、特定個人情報については、たとえ同意を得たとしても法で定められた一定の利用目的以外には利用することができません。例えば、特定個人情報（マイナンバーを含む情報）を、社員番号として管理のために利用することなどは同意を得ても不可です。

Q. プライバシーマークとISMS-PIMS認証（ISO/IEC27701）の違いは何ですか？

保護対象である個人情報とPIIの内容に差異があります。こちらの表をご覧ください。

	ISMS-PIMS認証	プライバシーマーク
制度開始時期	2020年	1998年
認証の位置づけ	国際認証	日本国内のみ
登録組織数	少ない	多い
登録範囲	限定可能	限定不可能
審査頻度	毎年	隔年
コスト（相対的）	高 ※ISMS認証が前提として必要であるため	低
その他の特徴	個人情報を含む情報全般のリスクマネジメントの証となります。また、GDPRとの関連性も示されているため、その遵守の一助となります。	個人情報の保護に特化しています。日本国内おける個人情報の保護に限定するのであれば、コストを含む負荷的に有利です。

ただし、PIMSは近い将来制度そのものの大きな変更が予定されています。

Q. プライバシーマークの必要性は何ですか？

入札条件になっていたり、顧客によっては取引条件になっているケースがあります。また、業界によっては、非常に多くの企業が取得しているため、差別化される可能性があります。

Q. 何をしたらプライバシーマークを取得できますか？

プライバシーマークの取得は次の流れで行います。

1. 1. PMS構築
2. 2. PMS運用
3. 3. 審査申請
4. 4. 文章審査
5. 5. 現地審査
6. 6. 登録

詳しくは、こちらをご覧ください。

Q. プライバシーマークの有効期間はどれぐらいですか？

2年です。また、更新時も同様で有効期間は2年間となります。

Q. 在宅勤務を奨励している企業は、どうしたらプライバシーマークを取得できますか？

在宅勤務を奨励しているという理由だけで、審査で不適合が出ることはあり得ません。

在宅勤務で個人情報を取り扱うことがあるのならば、それに伴うリスクを特定し、リスク対応がなされていれば問題は無いとお考えください。

Q. レンタルオフィスやシェアオフィスを利用している企業は、プライバシーマークを取得できますか？

レンタルオフィスやシェアオフィスだからという理由だけで、審査において不適合を受けることはありません。原則として、リスクが適切に特定され、適切に対応されていれば問題はありません。

ただし、審査時に周囲に音声が筒抜けであったり、視覚的に丸見えであるようなケースは、審査自体が成立しない可能性があるのでご注意ください。