皆さんは、このマークを見たことありますか?
多分、どこかで見たことあるはずです。
これは、個人情報を適切に取り扱っていると認定された事業者が使用できる「プライバシーマーク」です。
「たまに見るけど、そんなマーク、本当に必要なのか?」と考える方も多いと思います…
実は、このマークを取得している企業は毎年増え続けています。
2015年10月現在、全国でこのプライバシーマークを取得している事業者は14,280社あります。
業種別にみてみると、サービス業が最も多く10,712社、製造業が1,396社、そのほか、卸売・小売業、飲食業、運輸・通信業でも取得している事業者がいます。
秋田県でも37社の事業者が取得しています。
(秋田県のどんな企業が取得したかを知りたい場合は「プライバシーマーク付与事業者」で検索してみてください)
個人情報保護法の改正で、プライバシーマーク取得企業が増える?
話は変わりますが、2015年8月に「個人情報保護法」の改正案が可決されました。
個人情報保護法の改正
個人情報保護法は、個人情報を取り扱う事業者の遵守すべき義務等を定めたもの
と、法律の第1条に目的が書いてあります。
「個人情報保護なんてウチは関係ない」と思っている事業者さんも多いと思います。
ところが、今回の改正で、そんなことを言ってられなくなりました。
個人情報保護法は「個人情報取扱事業者」に対して適用されます。
「個人情報取扱事業者」というのは、個人情報データベース等を事業の用に供している者
、ようするに個人情報(氏名、住所、生年月日など…)を取り扱っている事業者ということです。
ただし、個人情報取扱事業者には例外があって、個人情報の取扱い件数が過去6ヶ月以内のいずれの日においても5,000を超えない者
は、その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ない者
として、適用除外となる定めがありました。
つまり、適用除外とは「小さい会社は取り扱ってる個人情報が少ないから、法律で罰する対象にはしないよ」と国が言っていたワケです。
しかし、今回の個人情報保護法の改正で、その項目が削除されてしまいました。
そのため、小さな会社でも、個人情報漏えい事件を起こしてしまえば、個人情報保護法違反になってしまいます。
個人情報保護法改正とマイナンバー法との関係
なぜ、このような改正がされたかというと「マイナンバー法」と整合性を取るためです。
マイナンバーを取り扱うに際には「マイナンバー法」が適用されるわけですが、そのマイナンバーに法は、事業者の規模による法的な配慮はありません。
中小規模事業者向けの軽減措置はありますが、違反したときの罰則は、どのような規模の事業者でも同じです。
個人情報保護法では5000件要件により個人情報保護法の対象外であった企業でも、マイナンバー法では「特定個人情報(マイナンバー)」の保護をしなくてはいけません。
そのため、個人情報保護法を改正して整合性をとったというわけです。
マイナンバー法:企業の規模を問わず特定個人情報(マイナンバー)の保護が必要
↓そこで
マイナンバー制度開始に伴い、個人情報保護法の5000件要件を撤廃
個人情報保護法改正のポイント
個人情報保護法の改正の主なポイントは以下の通りです。
- 個人情報の定義の明確化と要配慮情報の新設
- 匿名加工情報の新設
- 第3者提供に関わるトレーサビリティの確保
- 海外への個人情報の第三者提供
- 5000件要件の撤廃
細かいところは難しいので省きますが、要するに国としては「ビッグデータなどを活用して新しい産業を興したいので、それに必要な個人情報に関わる法律を整備した」ということです。
この点については、いろいろ意見があるとは思いますが、誰もがスマートフォンを持ち、インターネットが暮らしの一部となってしまった現代では、多様な情報を活用していくというのは、避けられない自然な流れだと思います。
プライバシーマークが必要?
ビッグデータ活用のために個人情報保護法が改正されたように、遠くない将来、いろいろな場面で個人情報が使用されることになります。
それと同時に、企業では個人情報保護に伴う新たな負担が発生するでしょう。
そこで、プライバシーマークです。
プライバシーマークを取得していると、個人情報保護法に定められていることをカバーできます。
それは、プライバシーマークを取得するには、個人情報保護法より高いレベルで社内の体制を整備する必要があるためです。
具体的には、日本工業規格(JIS)の「JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項」の基準に沿った体制です。
プライバシーマークを取得していれば、自動的に個人情報保護法やマイナンバー法が求める基準もクリアしているということになります。
プライバシーマークのメリット
プライバシーマーク取得のメリットは、個人情報保護法の基準をクリアできることだけではありません。
自治体等への応札条件になっていたり、名刺やホームページ等にも使用できるので、対外的なイメージアップ効果があります。
「プライバシーマークを取得している会社は信頼できる」という顧客に対する信用力が上がります。
また、従業員の個人情報保護に対する意識を改善して、人為的な情報漏えい事故を防ぐ効果もあります。
プライバシーマークのデメリット
もちろん、法律より厳しい基準をクリアしなければプライバシーマークを取得できないので、簡単には取得できません。
JIS規格、都道府県の条例、業界ガイドラインなどに則って、規程を作成したり、社内環境を整備したり、従業員を教育したり…必要事項がたくさんあります。
これは、取得や更新時の費用に加えて、新たな事務コストも発生することを意味しています。
それをすべて行ったうえで、個人情報の取り扱いについて審査をする資格のある審査員が審査し、適切であると評価されてはじめて、プライバシーマークを取得できます。
しかし、それだけで終わりではなく、今度はプライバシーマークの維持が必要なります。
万が一、維持できなくたった場合は、プライバシーマークの使用を中止することになり、そのことで逆に信用力が低下します。
中小企業はプライバシーマークを取得するべきか?
これは、各企業の戦略によるでしょう。
対外的な信用を得て成長を加速させたい、管理する個人情報が多くなってきた、自治体への応札条件をクリアしたい、というなら取得するべきです。
負担が大きいと感じるなら、無理に取得する必要はありません。
インターネットを通してさまざまな情報を収集、分析する「ビッグデータ」に注目が集まっています。その一方で個人は、企業の個人情報管理について敏感になっています。
プライバシーマーク取得の有無にかかわらず、中小企業であっても情報を活用する戦略が必要になっていることは確かなようです。