個人情報を適切に取り扱っている企業であることの証として、プライバシーマーク制度があります。プライバシーマークという言葉は知っていても、その取得に必要な条件についてはわからない方もいらっしゃるでしょう。この記事ではプライバシーマークの取得条件と、その取得条件の例外について詳しく解説します。
プライバシーマークとは
プライバシーマーク制度は、JIPDEC(一般財団法人 日本情報経済社会推進協会)が発行する、日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に適合し、適切な個人情報取り扱いを実施していると評価された組織に与えられる証のことです。個人情報を適切に取り扱っている事業者であることを、対外的にアピールするために利用できます。
プライバシーマーク取得の条件とは
プライバシーマークは誰にでも与えられるものではございません。JIPDECのプライバシーマーク制度のWebサイトによると、下記のような文言が記載されております。
- 申請できる事業者は、国内に活動拠点を持つ民間事業者。プライバシーマーク付与は法人単位
- 「個人情報保護マネジメントシステム—要求事項(JIS Q 15001)」に基づいた個人情報保護マネジメントシステム(PMS)を定めていること
- 個人情報保護マネジメントシステム(PMS)に基づき実施可能な体制が整備されて個人情報の適切な取扱いが行なわれていること。
- 申請事業者の社会保険・労働保険に加入した正社員、または登記上の役員(監査役を除く)の従業者が2名以上いること
プライバシーマークの取得には少なくとも上記の条件を満たす必要があります。
プライバシーマーク取得条件には例外がある
本来、プライバシーマークは法人登記している単位を付与認定の単位として運用されています。しかし医療法人や学校法人については、プライバシーマークの取得条件に例外が設けられています。
医療法人の場合、以下で紹介する全ての条件に合致している場合、一つの病院が付与単位として認められます。
- 医療法人等を構成している病院組織であること
- 当該病院組織の運営の権限を与えられた病院長がいること
- それらの病院組織は、地域別に分散していること
学校法人の場合でも、以下で紹介する全ての条件に合致している場合、一つの学校が付与単位として認められます。
- 学校法人等を構成している学校であること
- 当該学校の運営の権限を与えられた学校長がいること
- 学校は学校種別が異なり、個人情報の取扱いにおいて独立的に運営されていること
このように医療法人や学校法人については、一部例外が存在するため注意が必要です。
プライバシーマークを申請できない事業者とは
以下で紹介する条件に合致する事業者や法人はプライバシーマークの申請が制限されています。
「性風俗関連特殊営業」を営む事業者
「風俗営業等の規制及び業務の適正化等に関する法律」(昭和23年7月10日法律第122号)第2条第5項に規定する「性風俗関連特殊営業」を営む事業者またはこれらに類似する営業を営む事業者はプライバシーマークの申請が受け付けられません。
外国法人
日本国外にある外国法人は、プライバシーマークの申請が認められていません。しかし外国法人であったとしても、下記2点の条件を満たせば申請できる可能性があります。
- 日本の法律に基づいて支店として登記している場合
- 日本国内で取得した個人情報(当該外国法人の従業者の個人情報を除く。)の取扱いが日本国内に限られる場合
企業役員に犯罪歴などがある場合
企業役員において、次のいずれかに該当する場合、その組織はプライバシーマークの申請ができません。
- 禁錮以上の刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から2年を経過しない者
- 「個人情報の保護に関する法律」の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から2年を経過しない者
- 「暴力団員による不当な行為の防止等に関する法律」の規定に基づき指定暴力団又は暴力団連合に指定された暴力団の構成員である者
条件を満たせないインターネット異性紹介事業者
インターネット異性紹介事業者において、次から紹介する条件を一つでも満たせない場合はプライバシーマークの申請ができません。
- 基本情報の開示次に掲げる事項をホームページにより、登録希望者又は登録者(以下「顧客」という。)が閲覧できるようにしていること。
- 事業者の概要(事業者名、代表者名、住所、電話番号)
- 提供サービスの内容と価格
- 顧客相談の専用窓口の連絡先
- サービス提供の対象18歳以上の独身者のみを対象としていること。
- サービス内容及び提供条件の明確化顧客にサービスを提供するに当たっては、提供サービスごとの名称とその内容、対応する価格、提供する条件等を明記していること。「特定商取引に関する法律」(昭和51年6月4日法律第57号)の適用を受ける場合は、同法の規定に従って、適正に実施していること。
- 公安委員会への届出「インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律」第7条の規定に基づき、管轄する都道府県の公安委員会に届け出ていること。
- 本人確認登録希望者が本人であり、かつ、18歳以上であることを、公的な証明書を用いて確認し、その写しを記録として保管していること。
- 独身である旨の確認又はそれに代わる措置登録希望者が独身者であることを、公的な証明書を用いて確認し、その写しを記録として保管していること。又は、提供するサービスが、次に掲げる①から⑥の条件をすべて満たしていること。
- 会員制のサービスであること
- 独身である旨を宣誓させていること(入会申込みの際に必ず独身である旨を回答させること)
- 会員規約に、もし既婚者であることが発覚した場合、退会はもちろんのこと、損害賠償を求めることがある旨を規定していること
- 有料サービスであること(男女双方とも有料)
- 交際に合意するまでは、事業者のシステムを介して本人同士が連絡をとりあう仕組みであること
- 事業者のシステムを介して本人同士が連絡をとりあう場合において、その内容に公序良俗に反するものが含ま れていないか確認し、必要に応じて会員資格の停止又は退会の措置を講じていること
その他一般の信頼を毀損すると認めるに足る事業者
プライバシーマークの一般の信頼を毀損すると認めるに足る事業者に該当するかについては、制度委員会の審議により判断を行います。
申請不可期間3ヶ月の事業者
申請の日前3ヶ月以内に、次のいずれかに該当する事業者は、プライバシーマークの申請ができません。
- プライバシーマーク指定審査機関(以下「審査機関」という。)から、プライバシーマーク付与の適格性を有しない旨の決定を受けた事業者
- 付与適格性審査の審査料及び審査に係る旅費(交通費、宿泊費等)の不払いにより、審査機関が審査を打切った事業者
- 審査機関の指摘事項文書で不適合と指摘された事項の是正が、指摘事項文書発行日より6ヶ月以内に為されなかったことを理由として、審査を打ち切られた事業者
申請不可期間1年の事業者
申請の日前1年以内に、次のいずれかに該当する事業者は、プライバシーマークの申請ができません。
- 審査機関が審査の過程において次の事項を発見したため、審査を打切った事業者
- 申請に係る事項に虚偽があったとき
- 申請者の従業者以外の者が審査に立ち会ったとき
- 付与の取消しをうけた事業者
- 付与契約の解除をうけた事業者
事故の判断基準により判断された期間の事業者
個人情報の取扱いに関し、個人情報の外部への漏えい等の事故が発生したため、個人情報の取扱いに関する事故についての判断基準により申請を不可とする期間が決定され、その期間を経過していない事業者はプライバシーマークの申請ができません。
まとめ
プライバシーマークは、信頼できる企業であること証明するための有益な指標です。しかしこの記事で紹介したように、特定の条件に当てはまる場合、プライバシーマークの申請ができません。プライバシーマークの申請可能条件は厳しいように思われるかもしれませんが、その分、プライバシーマークの取得には価値があるということです。自社において個人情報を取り扱う業務を行っているのでしたら、まずはプライバシーマークの申請を検討していてはいかがでしょうか。
