いつも弊社ブログをご愛読いただき、誠にありがとうございます。
ISO総合研究所 本間 仁志(ほんま ひとし)と申します。

今回は、「個人情報保護士とPマーク(プライバシーマーク)」についてお話させていただきます。

個人情報保護士とは

まず個人情報保護士とは「個人情報保護法の正しい理解と安全管理に関する体系的な理解」及び「企業実務において個人情報の有効活用や管理・運用を行うことのできる知識や能力」をもつ人材を認定する同協会主催の「個人情報保護士認定試験」の合格者を個人情報保護士と呼びます。
2005年の個人情報保護法全面施行にあわせ試験を開始しました。

受験資格に制限はなく、受験者は、一般企業では法務・個人情報保護/コンプライアンス関連部門の担当者に限らず、管理職や一般社員、新入社員に至る まで幅広く、コンサルタントや弁護士・行政書士等、独立して事業を行う個人や、自身のスキルアップのために受験する人も少なくありません。

合格率は主催者発表で 40%程度。
この資格は民間資格であり業務独占資格は与えられません。

試験は四半期ごとの3月・6月・9月・12月の第2もしくは第3日曜日に実施されます。
合格点に達しないと不合格となる個人情報保護に特化した試験なのです。

次に事業者が一定の条件を満たすことによって認定されるものとして「プライバシーマーク」制度と「ISMS」制度がありますが、これらについては「個人情報保護士」試験でもよく出題されることから特に詳しく説明しましょう。

①プライバシーマーク

個人情報保護に関して一定の要件を満たした事業者に対して、財団法人日本情報処理開発機構(JIPDEC)により使用が認められる登録商標、別名「Pマーク」として、1998年から開始した制度です。

JISQ15001(個人情報保護マネジメントシステムの要求事項)に適合した個人情報保護体制を構築していることを認定する制度であり、個人情報保護法が定める個人情報取扱事業者の義務よりも一層厳しいものとなっております。

Pマーク申請の後に、書類審査がなされ、次に事業所への立ち入りを含む現地調査の上、JISQ15001への適合が認められると、審査合格事業者とJIPDECの間でPマークの使用を許諾する契約(有料)を締結します。

契約の期間は2年間であり、更新を受ける場合には、再度更新審査を受ける必要があり、Pマークの認定後に、組織的にJISQ15001に違反すると、Pマーク使用取り消しや、違反事業者名としてJIPDECのホームページ上で2年間公表するというペナルティを受けます。

②情報セキュリティマネジメントシステム(ISMS Information Security Management System)

主にデータセンターなどの施設・建物に関する物理的対策に関するものであった旧「情報システム安全対策実施事業者認定制度」が、2000年に当時の通商産業省から公表された「情報セキュリティ管理に関する国際スタンダードの導入および情報処理サービス業情報システム安全対策実施事業所認定制度の改革」に基づいて改正され、財団法人情報処理開発協会(JIPDEC)でスタートさせた民間主導による情報セキュリティに関する第三者認定制度です。

個人情報保護法とJISQ15001の違い

以上のように様々な個人情報保護に関する資格認定が存在するものの、プライバシーマーク、ISMSは事業者が認定を受けるものであり、個人が取得できる資格の中で試験だけで簡単に取得でき、なおかつ受験者が多いという意味で知名度が特に高いのは「個人情報保護士」試験であることになります。

個人情報保護士では個人情報保護法を基にしていますが、Pマーク(プライバシーマーク)ではJISQ15001(個人情報保護マネジメントシステムの要求事項)を基にしています。
こちらで相違する点をご説明します。

個人情報保護法とJISQ15001では対象となる個人情報の定義に違いがあります。
個人情報保護法は検索可能な状態の個人情報を5001件以上保有していると保護法の対象となり、JISQ15001では手書きのメモ一枚でも個人情報として管理する必要があります。

決定的に異なる点としては法律と要求事項ということがあります。

個人情報保護法は法律なので強制力があります。要は守らないと是正勧告→罰則となります。
一方、JIS Q 15001はPマークの要求事項なので、Pマークを取得しようとしない限り関係ありません。

次に、内容の違いですが、保護法>JIS Q 15001と言うことができます。

例えば、個人情報収集時においては、保護法:利用目的等を通知しなければならないです。

JIS Q 15001:利用目的等を通知し及び同意をえなければならない特定の機微な情報(センシティブ情報)の収集保護法:条文無し
JIS Q 15001:原則収集禁止。法令のより許可されている又は、明示的な同意を得てればOK

といった具合になります。

権利保護の観点で言えばJIS Q 15001の方が厳しいと言うことができると思いますが。
両方とも、狙いとしては情報主体(本人)の権利の保護や情報主体(本人)に迷惑をかけない、イヤな思いをさせないという共通のものがあるというのは念頭に置いたほうが良いと思います。

上記のように関係性も深いということで個人情報保護管理者の方は個人情報保護士を取得させている企業様もあります。

何か不明点がありましたらISO総合研究所までご連絡ください。

Pocket

タグ   :

  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03