みなさん、Pマークが一体どれくらいの歴史があるかご存じでしょうか。実は1999年に制度が始まってから、すでに15年以上が経過しています。
今回は、Pマーク制度が出来てから今までの間にどういった移り変わりがあるのかを3つの観点で見ていきたいと思います。
規格の変更
Pマークは1999年にスタートしていますが、2006年に大幅に規格の内容を変更しています。
これはその前年である2005年に個人情報保護法が施行され、それに準拠するために大幅に改訂されました。意外かもしれませんが、Pマークの方が個人情報保護法より歴史が古いわけです。
今でこそ、個人情報保護法をベースにPマークの規格であるJISQ15001が策定されていますが、それまではPマークが独自に日本の個人情報保護の土台を作っていたと言っても過言ではありません。
個人情報保護法ができるまでのPマークはその中で作る仕組みを「コンプライアンス・プログラム」と称していました。Pマークの仕組みを構築して運用することが法令遵守となったわけです。
現行のPマークではその中で作る仕組みを「個人情報保護マネジメントシステム」と言い、法令遵守というよりはいわゆる「PDCAサイクル」を回し、個人情報を適切に管理することを求める仕組みに変わっています。
おそらく土台(根拠)となる法令が出来たことにより、Pマークの仕組みを作らなくても法令遵守の仕組みを構築することが求められたから規格の内容も大幅に変わったからかもしれません。
用語の統一
これもPマークの規格が2006年に変わった際に大きく変わったところですが、規格で定義される言葉そのものが大幅に変わりました。
例えば、現行の規格では個人情報で識別される個人は「本人」と定義されていますが、昔の規格では「情報主体」と定義されていました。
こういった形で様々な部分で言葉が書き換わったタイミングがありました。
以下がその一例になります。
旧 | 現 |
預託 | 委託 |
収集 | 取得 |
間接取得 | 直接書面以外での取得 |
昔、規格が切り替わったタイミングではよくPマークの審査で旧規格の言葉を使っていると指摘として挙げられ修正を求められたこともありました。
今となってはかなり懐かしい思い出でもあります。
求められるセキュリティ対策の変更
これは時代の流れに沿って当然のこととも言えますが、今と昔のPマークでは求められる情報セキュリティに対する対策も変わってきています。
例えば、Pマーク制度が出来た1999年のころにはスマートフォンなんて存在していません。
携帯電話の管理の中で求められるのは電話帳に記載された、顧客の連絡先の情報の漏えい対策でした。(2000年くらいの携帯電話にはセキュリティロックの機能もない携帯電話もあったので、個人情報としないようにイニシャル等で記載する。という今では考え難いセキュリティ対策があったくらいです)
その他にも今ほどインターネットに対する脅威もさほど多様ではなかったため、脆弱性に対する対策なんかも昔のPマークでは求められてはいませんでした。
Pマーク制度は長い歴史の中で様々な変遷と遂げて今の形に変わってきています。
もうすぐ改訂された個人情報保護法も完全施行される予定なので、数年以内にPマークの規格がまた大きく変わってくるかと思います。