はじめに
プライバシーマーク(以下、Pマーク)を取得するために、また取得してからも守らなければならないことはたくさんあります。一方、個人情報保護法にも必ず守らないといけないことがあります。
この二つの内容は同じなのでしょうか。それとも全く違うのでしょうか。本記事ではその関係性について解説していきます。
違いはあるの?
結論から言うと、この二つの内容は異なります。
一例ですが具体的には下記のような違いがあります。
個人情報保護方針の作成について
| 個人情報保護法 | Pマーク |
|---|---|
| 基本方針をつくらなければならない(記載内容は定められていない) | 定められた内容を含む個人情報保護方針をつくらなければならない。また内部向け(従業員向け)と外部向け(社外向け)の両方を作成しなければならない(同一の内容のものでも可) |
個人情報を取得したとき
| 個人情報保護法 | Pマーク |
|---|---|
| 本人に利用目的を通知又は公表しなければならない | 上記の措置+手渡しや郵送、メールやWebサイトの入力フォーム等で本人から直接取得した場合は書面での同意が必要となる(同意が必要な項目も決まっている) |
本人からの問い合わせに応じる対象(開示の請求対象)となる個人情報について
| 個人情報保護法 | Pマーク |
|---|---|
| 6ヶ月以上保有している個人情報(保有個人データ)が対象 | 保有期間に関わらず保有している個人情報全てが対象 ※保有個人データに該当しない例外事項は同じ |
上記以外にも、Pマークでは定められた要件でマネジメントシステムを運用することが必要となります。(ここでは詳細は割愛します。)
ここまで読んでいただくとお気づきかもしれませんが、「Pマークで守るべき内容は個人情報保護法よりも厳しい内容」となっています。また、Pマークという認証は審査機関の審査を受けて合格しなければ取得することができません。
よって、Pマークを取得している企業は、必然的に個人情報保護法を遵守していると言えます。逆に、個人情報保護法を遵守しているからといって、必ずしもPマークで必要な内容も網羅しているとは限らないのです。
個人情報保護法改正案との関係
2020年の6月に個人情報保護法の改正案が可決、公布されました。改正法の施行は2年以内とされています。改正案の具体的なガイドラインは現在作成中ですが、改正される内容の中には、これまでPマークでは必須であったものの個人情報保護法では必須でなかった内容も含まれています。
そのため、Pマークを取得していない企業は社内ルールを現状より厳しいものにしなければならない可能性が出てきます。また、今回の改正で新設された内容もありますので、既にPマークを取得している企業でも社内ルールを見直す必要があります。
さいごに
Pマークと個人情報保護法の違い、ご理解いただけましたでしょうか。
個人情報保護法は最低限守るべきラインを定めた規制であり、Pマークと比べると比較的緩やかな規制でもあるので、Pマークを取得していない企業でもPマーク上必要な内容を盛り込んだ社内ルールを作成してもいいかもしれません。
