コラム

『個人情報保護に関する第三者認証制度 vol.2』 株式会社ウィンズ


個人情報の保護に関連する第三者認証制度には、WEBに特化したものを除き、日常業務
として考えた場合には、主に3つの制度があることを前回お話ししました。今回は、そ
れらの3つの制度についての違いを確認していきます。

・プライバシーマーク
  言わずと知れた個人情報の保護に関する第三者認証制度です。JIS Q 15001を審査
  基準とし、プライバシーマーク付与適格性審査基準に沿って審査が行われます。
  更新審査は2年毎に行われ、事業規模にかかわらず審査は終日、基本的に本店の
  みが現地審査の対象です。法人単位での認証取得ですので、ISOの認証と異なり、
  部門  単位、拠点単位で認証を取得することはできません。
・ISO/IEC 27001(情報セキュリティマネジメントシステム:ISMS)
  個人情報のみではなく情報及び資産のセキュリティに関する第三者認証制度です。
  審査基準はISO/IEC 27001、毎年の定期審査(3年毎に更新審査)、事業規模によ
  る審査工数の増減、3年サイクルで適用範囲全ての拠点を現地審査します。適用範
  囲は任意で設定することができ(正当な理由が必要です)、部門単位、拠点単位
  での認証取得が可能です。
・JAPHICマーク
  少々マイナーな個人情報の保護に関する第三者認証制度です。個人情報保護法及
  びマイナンバー法の適用される各ガイドラインが審査基準であり、毎年定期審査
  が行われます。基本的には各ガイドラインへの適合を自己評価し、その結果に基
  づき現地審査を行いますので、審査時間は半日以内です。ISO同様に部門単位、
  拠点単位での認証取得が可能です。

以上が各審査制度の概要ですが、いかがですか。個人情報保護の徹底という観点でみ
ると、プライバシーマークかJAPHICマークが、それに特化しています。さらに純粋に
(正確に)法令遵守という観点でみるとJAPHICマークが、それに特化しています。プ
ライバシーマークは、個人情報を直接書面で取得する際には、明示的な同意取得が必
要等の独特の世界観を持っています。これら以外にも審査の“中身”という観点では、
もっといろんなことがあるのですが、一冊本が書けそうなボリュームになりそうなの
で、この辺りでやめておきます。詳しくお聞きになりたい方は個別にお問合せいただ
ければと思います。

情報セキュリティ・コンプライアンスの一丁目一番地“個人情報の保護”に関する第
三者認証制度、より確実な個人情報保護、社内情報セキュリティの意識向上として、
導入を検討されるのも良いと思います。今回のコロナ禍、緊急事態宣言下でも度々個
人情報の取扱いが問題になり、情報セキュリティの脆弱性が指摘される等々の報道も
ありました。情報セキュリティ、コンプライアンスは個人個人の意識、認識がベース
です。この機会に今一度、社内を見渡し、確認してみてはいかがでしょうか。このお
話が皆さんのお役に立ちましたら幸いです。

ご案内

株式会社ウィンズ

〒101-0062
東京都千代田区神田駿河台1-7-10 YK駿河台ビル3F

各セミナーに関するお問合せはそれぞれの主催者に直接お問合せください。