弁護士 赤木 誠治

 個人情報保護について考えている企業の担当者の方の中には、「プライバシーマーク」という制度に興味を持っている方もいらっしゃるかもしれません。
 本稿では、プライバシーマーク制度や、この制度における個人情報保護管理者について、ご紹介します。

第1 プライバシーマーク制度の概要

1 プライバシーマークとは

 プライバシーマークとは、個人情報の保護について、第三者の機関が設けている制度です。
 プライバシーマーク制度は、平成10年より運営されています。
 実施団体は、一般財団法人日本情報経済社会推進協会(JIPDEC)となります。

2 一般財団法人日本情報経済社会推進協会(JIPDEC)とは

 一般財団法人日本情報経済社会推進協会の前身は、1967年12月に設立された財団法人日本情報処理開発センターです。同センターは、2005年、個人情報の保護に関する法律(個人情報保護法)における認定個人情報保護団体として認定を受けています。
 その後、2011年の一般財団法人化に伴い、現在の一般財団法人日本情報経済社会推進協会という名称になりました。
 同協会では、プライバシーマーク制度の実施や、認定個人情報保護団体としての対応等、さまざまな業務を行っています。

3 プライバシーマークの目的

 プライバシーマークは、事業者が実施している個人情報の保護体制を、中立の第三者機関が判定し、認証するものになります。
 プライバシーマークを取得すると、事業者は、プライバシーマーク(pマーク)を使用することが可能になります。
 このプライバシーマークは、ホームページのサイトや店舗等に掲載することができます。これにより、事業者は、消費者や取引先等に対して、個人情報の保護について高い水準を保っていることを示すことができます。

 なお、プライバシーマークは、同協会とプライバシーマーク付与契約を締結している事業者のみが使用できるとされています。そのため、勝手にロゴ等を使うことは不正使用となるので、注意が必要です。

4 プライバシーマークが付与されている事業者

 2022年9月16日時点で、プライバシーマークが付与されている事業者の数は、1万7千社を超えています。
 これらの事業者は、プライバシーマーク制度のホームページで、一覧を検索することもできます。

第2 プライバシーマークを付与されるためには

1 個人情報保護マネジメントシステムを構築し、運用する

 プライバシーマークは、事業者が「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に基づいて、個人情報が適切に保護されていることを示すものです。
 この「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」とは、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」のほか、個人情報保護法といった法令、個人情報保護法に関するガイドラインの内容、その他個人情報に関連する条例なども取り入れられた基準となっています。
 プライバシーマークの付与を目指す事業者は、このシステムの構築し、運用をする必要があります。

2 付与の申請を行う

 プライバシーマークの付与適格性審査を申請する事業者は、以下の要件を満たす必要があります。

①「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に則した個人情報保護マネジメントシステムを定めていること。
②個人情報保護マネジメントシステムに基づく体制が整備され、個人情報の適切な取り扱いが行なわれていること。
③社会保険・労働保険に加入した正社員、または登記上の役員(監査役を除く)の従業者が2名以上いること

 このうち、③については、個人情報保護マネジメントシステムを構築するためには、「個人情報保護管理者」と「個人情報保護監査責任者」が、それぞれ1名ずつ必要(両者は兼任不可)であるため、要件の1つとされています。

3 審査

 申請書類を提出し、受付された後は、文書審査および実地審査が行われることになります。
 これらの審査後に、プライバシーマークの付与適格性の有無が決定されます。

4 有効期間

 プライバシーマーク付与の有効期間は、2年間とされています。
 そのため、それ以降もプライバシーマークを使用したい場合には、更新の申請をする必要があります。

第3 「個人情報保護管理者」と「個人情報保護監査責任者」

1 個人情報保護管理者

 個人情報保護管理者は、個人情報保護マネジメントシステムの見直しや改善のために、トップマネジメントに個人情報保護マネジメントシステムの運用状況を報告することが主たる役割となっています。
 個人情報保護管理者になるために、特別な資格が必要であるということはありません。
もっとも、個人情報保護や組織の個人情報の取扱い、社内の情報の管理体制について、十分に把握していることが望ましいでしょう。

2「個人情報保護監査責任者」

 個人情報保護監査責任者は、監査を指揮し、監査報告書を作成し、トップマネジメントに報告することが主な役割となっています。
 個人情報保護監査責任者についても、特別な資格が必要であるということはありません。
 もっとも、個人情報保護監査責任者については、会社の代表者が兼任することはできません。監査を会社の代表者が兼務するとなると、監査自体がきちんとおこなわれるか、疑問が生じるためです。
また、個人情報保護監査責任者は、個人情報保護管理者を兼ねることもできません(なお、個人情報保護管理者については、会社の代表者が兼ねることは可能です。)。

ご相談 ご質問
今回のコラムについてご質問がある場合、電子メール(2021glexpand@g-leaf.or.jp)にてお受けします。件名には、コラムを書いた弁護士名をご記載ください。大変恐縮ですが、電話でのご質問はお受けしておりません。
企業法務を得意とする法律事務所をお探しの場合、ぜひ、当事務所との顧問契約をご検討ください。