こんにちは。
今回は、Pマークを取得する際に注意していただきたい点についてご紹介していきます。

規格？システム？

Pマークを取得する際には、1つの規格を知っておくことが必要です。
財団法人日本規格協会の原案によって策定された日本産業規格の1つであるJISQ15001:2006という規格があります。この規格を利用し、個人情報をしっかりと管理する体制を構築していくわけです。

個人情報をしっかりと管理する体制のことを個人情報保護マネジメントシステムといいます。
個人情報保護マネジメントシステムがしっかりと整備されている事業者に与えられるマークが、いわゆるプライバシーマーク（Pマーク）というわけです。

「個人情報を事業の用に供している」ってどういうこと？

さて、このJISQ15001:2006の規格を利用して、個人情報保護マネジメントシステムを構築していくわけですが、この規格の本文の最初に「適用範囲」という項目があります。適用範囲の項目では、「個人情報を事業の用に供している」という文章があります。この部分は、なかなか理解しにくいところです。

これは、「誰かの個人情報を事業で利用している」と言い換えることができます。では、事業で利用している個人情報の中には、どのような個人情報が含まれると思いますか？

もちろん、顧客から頂いた個人情報もあるでしょうし、消費者の個人情報も含有していると思います。しかし、事業者が保有している個人情報はそれだけではありません。

もう少し詳しく「事業の用に供している個人情報」を見ていきましょう。

JISQ15001:2006の規格には、規格本体に解説が付属されています。その解説を読んでみると、「必ずしも営利事業のみを対象としていない」という内容の記載があります。先ほど挙げた顧客や消費者の個人情報は営利事業に利用している場合が多いと思います。逆に営利事業に利用しない個人情報はどんなものが挙げられると思いますか？

それは、職場で働く従業員の方の個人情報です。
従業員の方の個人情報を利用する場面は、例えば税務関係の書類に記入する場合や社会保険の手続きの際に記入します。これらの場合、従業員の個人情報を利用するときに利益は生まれませんよね？

従業員の個人情報管理もPマークの適用範囲

つまり、今回のブログのタイトルになっている「Pマーク取得を全社単位で行わなければならない」理由は、「Pマークを取得する際は、営利事業に利用していない従業員の個人情報も管理の対象に入るから」であるということがご理解いただけたのではないかと思います。

これからも、私が規格の中で分かりにくいなと感じた部分は随時ブログにアップしていきますので、チェックして頂きたいと思います。

それでは。