『個人情報保護に関する第三者認証制度 vol.2』
個人情報の保護に関連する第三者認証制度には、WEBに特化したものを除き、日常業務として考えた場合には、主に3つの制度があることを前回お話ししました。今回は、それらの3つの制度についての違いを確認していきます。
・プライバシーマーク
言わずと知れた個人情報の保護に関する第三者認証制度です。JIS Q 15001を審査基準とし、プライバシーマーク付与適格性審査基準に沿って審査が行われます。
更新審査は2年毎に行われ、事業規模にかかわらず審査は終日、基本的に本店のみが現地審査の対象です。法人単位での認証取得ですので、ISOの認証と異なり、部門単位、拠点単位で認証を取得することはできません。
・ISO/IEC 27001(情報セキュリティマネジメントシステム:ISMS)
個人情報のみではなく情報及び資産のセキュリティに関する第三者認証制度です。審査基準はISO/IEC 27001、毎年の定期審査(3年毎に更新審査)、事業規模による審査工数の増減、3年サイクルで適用範囲全ての拠点を現地審査します。適用範囲は任意で設定することができ(正当な理由が必要です)、部門単位、拠点単位での認証取得が可能です。
・JAPHICマーク
少々マイナーな個人情報の保護に関する第三者認証制度です。個人情報保護法及びマイナンバー法の適用される各ガイドラインが審査基準であり、毎年定期審査が行われます。基本的には各ガイドラインへの適合を自己評価し、その結果に基づき現地審査を行いますので、審査時間は半日以内です。ISO同様に部門単位、拠点単位での認証取得が可能です。
以上が各審査制度の概要ですが、いかがですか。個人情報保護の徹底という観点でみると、プライバシーマークかJAPHICマークが、それに特化しています。さらに純粋に(正確に)法令遵守という観点でみるとJAPHICマークが、それに特化しています。プライバシーマークは、個人情報を直接書面で取得する際には、明示的な同意取得が必要等の独特の世界観を持っています。これら以外にも審査の“中身”という観点では、もっといろんなことがあるのですが、一冊本が書けそうなボリュームになりそうなので、この辺りでやめておきます。詳しくお聞きになりたい方は個別にお問合せいただければと思います。
情報セキュリティ・コンプライアンスの一丁目一番地“個人情報の保護”に関する第三者認証制度、より確実な個人情報保護、社内情報セキュリティの意識向上として、導入を検討されるのも良いと思います。今回のコロナ禍、緊急事態宣言下でも度々個人情報の取扱いが問題になり、情報セキュリティの脆弱性が指摘される等々の報道もありました。情報セキュリティ、コンプライアンスは個人個人の意識、認識がベースです。この機会に今一度、社内を見渡し、確認してみてはいかがでしょうか。このお話が皆さんのお役に立ちましたら幸いです。