プライバシーマーク・個人情報保護blog @pmarknews

ISMS認証制度を運営している一般財団法人日本情報経済社会推進協会（略称：JIPDEC）は、「ISMS適合性評価制度に関する説明会｣を3月に東京と大阪で開催すると発表しました。

これは、制度の普及を目的としており、広く一般の組織からの参加が可能とのことです。

開催スケジュール
3/27(火) 東京（日本教育会館）
3/30(金) 大阪（大阪国際会議場）

http://www.isms.jipdec.or.jp/seminar/201203index.html

（私のコメント）
すでにISMS認証を取得済みの方も、プライバシーマークの次にISMS認証の取得を考えている方にもオススメします。

プライバシーマークの制度を運営している一般財団法人日本情報経済社会推進協会（略称：JIPDEC）・プライバシーマーク推進センターは、昨年末に実施していたプライバシーマーク制度普及促進のための標語募集について、1月31日付けで入選作品を発表しました。

（消費者側）
「安心は　Pのマークの　有るサイト」
「大丈夫　見つけて安心　Pマーク」

（事業者側）
「守ります　あなたの情報　わが社の信頼」
「プライバシー　マークで示そう　保護意識」

など、合計6つの標語が入選しました。

http://privacymark.jp/info/event_hyogo/index.html
http://privacymark.jp/info/event_hyogo/doc/H23hyogo_kekka.pdf

（私のコメント）
ちょっと見るとバカバカしく思えるかも知れませんが、こういう地道な啓蒙活動の積み重ねがプライバシーマーク制度をここまで普及させたのではないかと思います。事務局の皆様、そして応募された皆様、お疲れ様でした。

「JIPDECプライバシーマークフォーラム2011」の東京の部は終了しました。

午後の部の各社の事例紹介が、各社の特徴がよく出ていて、おもしろかったです。
大阪で参加される方には事例紹介にも参加されることをおすすめします。

なお、会場でのアナウンスによりますと、本日の内容は後日、動画配信されるそうです。また講演録も提供されるそうです。興味を持たれた方はそれらの公開をお待ちください。

（本日の記事）
本日はプライバシーマークフォーラム2011に来ています。
http://www.pmarknews.info/archives/51800795.html
JIPDEC牧野会長「個人情報の利活用が制度の趣旨」
http://www.pmarknews.info/archives/51800809.html
堀部政男氏「社会保障・税番号大綱の影響は大きい」
http://www.pmarknews.info/archives/51800816.html
大木氏「クラウド提供者のガバナンスが重要」
http://www.pmarknews.info/archives/51800821.html
日立・玉樹氏「2015年までにグループ100社取得目指す」
http://www.pmarknews.info/archives/51800858.html
テンプスタッフ・村岡さん「情報漏洩を二度と起こさない！」
http://www.pmarknews.info/archives/51800873.html

「JIPDECプライバシーマークフォーラム2011」のPマーク取得事業者による事例紹介の最後は、テンプスタッフ株式会社の情報統括室の村岡さんが講演しました。

（要旨）
・1998年に派遣社員9万人分の個人情報漏洩事件が発生。マスコミで大々的に報道され、大騒ぎになった。電話が鳴り続け、二ヶ月間、営業活動ができなくなり、会社存亡の危機に立たされた。
・その後、二度とこのような事態を繰り返さないために、グループ全社でのプライバシーマーク取得を含む個人情報保護の取り組みを始めた。

◎具体的な取り組み
・個人情報保護に関するメールマガジンを社内で配信
・業務用鞄の導入（業務用の鞄と私用の鞄を分離）
・全社員に集合研修を実施（Eラーニングでは一方通行なので、今でも年に1回は集合研修をして、社員相互に話をさせるようにしている）
・社内監査において、写真を使って「この写真には4つのよくない点がありますが、何がありますか？」と質問したり、携帯電話をかけさせてロックの有無を確認するなど、実態に沿うものにしている。

◎今後の取り組み
・単に個人情報保護のルールを徹底するのではなく、企業倫理としてその必要性を教育していきたい。
・スマートフォン、タブレット端末については、トレーニングの受講などで一定レベルの知識があるもののみに限定する。
・クラウドサービスについては、一定の基準で選定し、利用者アニュアルなども整備する。
・ソーシャルメディアの利用についても、社員教育、ルールの明確化などを行っていく。

（私のコメント）
村岡さんのお話は、個人情報漏洩事件の生々しい実態と、そこから立ち上がったストーリーで構成されていて、とてもいいものでした。

「JIPDECプライバシーマークフォーラム2011」の午後の部は、Pマーク取得事業者による事例紹介です。まずは国内でも最大規模と思われる日立グループでの取り組みについて、株式会社日立製作所のIT統括本部IT戦略本部長の玉樹氏が講演しました。

（要旨）
・日立グループは国内351社の体制であるが、緩やかなグループ運営をしており、トップダウンということではない。
・グループで取り扱っている個人情報は総計10億件であり、その97％は受託している情報である。
・個人情報に関する品質保証と、お客様から選んでいただけることを目的として、グループ全体でのプライバシーマーク取得を進め、現在のプライバシーマーク取得数は72社になっている。（企業立病院でも積極的に取得している）
・2015年までにグループ内で100社を目指し、グローバルでのブランドイメージの向上を実現し、ビジネスに貢献したい。

◎グループ全体での取り組みは、下記のように進めた。
・日立本社での取得にあたり、それまでに存在した情報セキュリティ委員会と個人情報保護委員会を、一つの「情報セキュリティ委員会」に統合した。情報セキュリティマネジメントシステム（ISMS）と個人情報保護マネジメントシステム（PMS）も統合して、ISMSの中にPMSを位置づけた。
・12個の規定を整理統合して7個に集約した。
・各事業所、各部署での管理責任者もISMS、PMS統合して一本化した。
・本社レベルの情報セキュリティ委員会、事業所単位の情報セキュリティ責任者、部署単位の情報資産管理者という体制を日立本社だけでなく、グループでも同様の体制を取るようにした。これにより、人材の流動化、規程や教育プログラムの共有が可能になった。

◎主なセキュリティ対策は下記の通り。
・ハードディスクを持たないセキュリティPCをグループ全体で9万台導入している。
・データの持ち出し対策については「秘文」を導入している。
・文書の閲覧制御についてはPDFに変換して制御できる「活文」を導入している。
・メールの誤送信防止のため、送信フィルターを導入している。
・アクセス権限の管理については全社統一していて、大規模な人事異動についても即日対応が可能な体制を取っている。

（私のコメント）
玉樹さんのプレゼンテーションは、フレームワークからディティールに順番に切り込んでいくように構成されていて、かつ実際の事例に基づいている内容でしたので、とても分かりやすいものでした。

「JIPDECプライバシーマークフォーラム2011」で、大木栄二朗氏（工学院大学教授）が講演しました。

その中で、特に注目されたのは、クラウドサービスの利用に関しては、クラウド事業者にガバナンスを要求することが重要だとする考え方でした。

・「Data-Free Architecture」と「Hot Operation」という考え方
　通常のオペレーションでは、データの中身を見ることができないようにし、データの中身を見る必要がある操作は健全な運用を証明できるように、透明化して記録を残す。
・情報セキュリティの維持に関して、クラウド事業者の経営陣のコミットメント（言明書）を要求する。

（私のコメント）
今後、クラウドサービスの利用を促進するに当たっては、確かに上記のような取り組みは重要と考えます。

「JIPDECプライバシーマークフォーラム2011」で、プライバシーマーク制度委員会の委員長の堀部政男氏（一橋大学名誉教授）が講演しました。

（要旨）
・プライバシーマーク制度ができるまでの経緯と、堀部氏がどのように関与してきたかの紹介。
・一年目の平成10年度の取得事業者数は58であったが、その後、15,000社を超える規模にまで成長。
・今年6月にまとめられた「社会保障・税番号大綱」では、法人に法人番号、個人に個人の番号を割り振るとしているので、これがプライバシーマーク制度に与える影響は大きい。

（私のコメント）
社会保障・税番号の件は、まだまだよく分かりませんが、今後注目が必要なようです。

「JIPDECプライバシーマークフォーラム2011」の冒頭、JIPDECの牧野会長が挨拶しました。

（要旨）
・プライバシーマークは、民間が自発的に取り組む制度であり、いわゆるデファクトスタンダード。政府がやると硬直的になりかねないし、完全な民間では第三者機関としての信頼性確保が困難である。そこで私たちのような団体がその役割を担ってきた。
・のべ取得事業者数が15,000社を突破したというのは、公共的に意味があると認められた結果ではないかと認識している。
・プライバシーマーク制度は、あくまでも個人情報の利活用と健全な保護をバランスを取って進める制度であり、一方的に消費者の権利を守るものではない。JIPDECにも年間400件の苦情が来て対応しているが、あくまでも仲介役として汗をかいていきたい。
・マンパワーなどに制約のある中小企業の取得も進んでいる。あくまでも基準を緩くすると言うことはできないが、商工会議所などと協力しながら、ハンディキャップをバックアップしていきたい。
・審査が遅いなどの苦情もアンケートでいただいているが、鋭意取り組んでいきたい。
・今後の課題としては（１）SNSの流行など、技術的な環境の変化への対応が必要であり、専門家の皆さんに集まっていただいて技術部会を開催して手を打っていきたい。（２）東日本大震災のような緊急事態に際して、プライバシーマーク取得事業者の取得した個人情報を活用できないか、考えていきたい。

（私のコメント）
事前配布のプログラムでは5分のご挨拶のはずでしたが、かなり網羅的なお話になりました。

本日は、一般財団法人日本情報経済社会推進協会(JIPDEC)が主催する「プライバシーマークフォーラム2011」に来ています。会場は、ANAインターコンチネンタルホテル東京です。

http://privacymark.jp/forum/2011/index.html

今日一日、会場からレポートします。

※なんと、会場内は撮影禁止だそうです。

（本日の記事）
JIPDEC牧野会長「個人情報の利活用が制度の趣旨」
http://www.pmarknews.info/archives/51800809.html
堀部政男氏「社会保障・税番号大綱の影響は大きい」
http://www.pmarknews.info/archives/51800816.html
大木氏「クラウド提供者のガバナンスが重要」
http://www.pmarknews.info/archives/51800821.html
日立・玉樹氏「2015年までにグループ100社取得目指す」
http://www.pmarknews.info/archives/51800858.html
テンプスタッフ・村岡さん「情報漏洩を二度と起こさない！」
http://www.pmarknews.info/archives/51800873.html
Pマークフォーラム in 東京は、終了しました！
http://www.pmarknews.info/archives/51800879.html

プライバシーマークの制度を運営している一般財団法人日本情報経済社会推進協会（略称：JIPDEC）・プライバシーマーク推進センターは、12月26日（月）をもって新しいオフィスに移転すると発表しました。

（新住所）
〒106−0032　東京都港区六本木１−９−９　六本木ファーストビル
12F（プライバシーマーク事務局）、11F（審査業務室）

これに伴い、12月22日（木）〜12月25日(日)は、文書の受付などが行えないとのことです。ご注意ください。

http://privacymark.jp/news/2011/1028/index.html

（11月17日追記）
御社がJIPDECを認定個人情報団体として指定している場合には、御社の個人情報保護規程や、各種の文書に含まれる認定個人情報保護団体の表記を、上記の通り修正しておいてください。また、4月から名称も変わっていますので、それも併せて今回を機に修正されることをおすすめします。

プライバシーマークの審査機関の一つである
社団法人コンピュータソフトウェア協会（CSAJ）プライバシーマーク審査室から、
「JIS Q 15001：2006」の『解説』が改訂されたとの案内が来ましたので、
本Blog上でもご紹介いたします。

「JIS Q 15001：2006 個人情報保護マネジメントシステム−要求事項解説（2011年改訂）」
http://www.webstore.jsa.or.jp/webstore/JIS/html/jp/expl/jis_q_15001_000_000_2006_expl_j_ed10_ch.pdf

主な変更点＞
・経産省ガイドラインで追加された例示の追加
・取得時の表示事項など、いつ何を告知するべきかの一覧表化
などとなっています。

なお、CSAJからの案内によりますと、今回の改訂による審査基準等の変更はないとのことです。

（私のコメント）
内容はともかく、今回の解説の見直しのプロセスには異議ありです。そもそも改訂作業が非公開で、パブリックコメントの募集もなく、公式な発表もなく、差分ファイルも提供されず。。。。そのうち正式な発表があるんでしょうか？

（10月31日追記）
10月31日付で、JIPDECからも正式に案内出ました。
やはり、審査基準には変更なしとのことです。
http://privacymark.jp/news/2011/1031/index.html

プライバシーマークの制度を運営している一般財団法人日本情報経済社会推進協会（略称：JIPDEC）・プライバシーマーク推進センターは、このほど「JIPDECプライバシーマークフォーラム2011｣を11月に東京と大阪で開催すると発表しました。

これは、プライバシーマーク取得事業者を対象にしたもので、各事業者内における個人情報保護の取組みを支援し、個人情報保護マネジメントシステム（PMS）をより有効なものにすることを目的としており、識者による講演、取得事業者による事例紹介、制度貢献事業者に対する表彰式などを行うとのことです。

（１） 東京： 2011年11月14日（月）
　　　 場 所 ：ANAインターコンチネンタルホテル東京（定 員 ：1,000名）

（２） 大阪： 2011年11月21日（月）
　　　 場 所 ：グランキューブ大阪（大阪国際会議場）（定 員 ： 700名）

参加申込みできるのは、プライバシーマーク取得事業者1社につき1名までとのことで、10月25日10時（予定）より、「付与事業者専用サイト」より行えるようになるとのことです。

http://privacymark.jp/forum/2011/index.html
http://privacymark.jp/

（私のコメント）
東京会場はすぐに満員になりそうですね。25日中に予約することをオススメします。

（11月4日追記）
JIPDECからのメールによると、なんとまだ若干の席に余裕があるそうです。お申し込みがまだの方はお早めに。

（旧）日本情報処理開発協会は、4月1日付で、新公益法人制度に沿った一般財団法人へ移行するとともに、組織名称を変更すると発表しました。

（旧法人名）「財団法人日本情報処理開発協会」

（新法人名）「一般財団法人日本情報経済社会推進協会」
（英文名：Japan Institute for Promotion of Digital Economy and Community,英字による表記名：JIPDEC）

（私のコメント）
略称JIPDECは変更ないものの、日本語の名称は変更になりました。プライバシーマーク取得事業者の皆様は、自社の個人情報保護規程の中の緊急時の連絡先を新名称に変更するなどの対応を取る必要があると思われます。ご対応ください。

プライバシーマークの制度を運営している（財）日本情報処理開発協会（略称：JIPDEC）・プライバシーマーク推進センターは、この3月から「性風俗関連特殊営業」を営む事業者の申請を受け付けないこととしたようです。

これは、2月2日付でプライバシーマーク公式Webサイトが更新されて、3月1日以降にプライバシーマークの申請を行う際の注意書きが新たに掲載されましたが、その中で下記の記述があることで判明しました。

-------------------------------------------
なお（略）「風俗営業等の規制及び業務の適正化等に関する法律」（昭和23年7月10日法律第122号）第2条第5項に規定する「性風俗関連特殊営業」を営む事業者は、申請を受け付けることができません。
-------------------------------------------

当Blogでは、独自にJIPDECに対して問い合わせを行いました。その結果、下記のコメントを頂きました。

-------------------------------------------
プライバシーマーク制度は、事業者の個人情報の適切性を判断して認定する制度ですが、一般消費者の方々の中には、付与認定した事業者の事業内容に関して意見を頂くこともあります。
ネットの出会い系サイトについては、青少年に悪影響を及ぼすなど社会問題になっていることもあり、平成20年8月には「インターネット異性紹介事業者」について対応する基準を定めてきました。
この度の措置の対象とした「性風俗関連特殊営業」については、青少年の健全な育成に与える影響が著しい営業として、個人の情報の保護も含む個人の人格尊重を重要視する制度になじまないものであるとのプライバシーマーク制度委員会の申合せを踏まえて、申請を受けないとしたものです。
-------------------------------------------

とのことで、プライバシーマーク制度委員会での申し合わせを受けて、今回の方針が出ているとのことです。3月からプライバシーマーク制度設置及び運営要領が改正されますが、それとは直接関係はないし、これらの規程類の中に今回の方針が記載されているわけではないとのことです。

なお、「性風俗関連特殊営業」とは、下記のような営業内容を指しているようです。

※性風俗関連特殊営業
・店舗型性風俗特殊営業（ソープランド、ファッションヘルス、ストリップ劇場、ラブホテル、アダルトグッズショップ、出会い喫茶など）
・無店舗型性風俗特殊営業（デリバリーヘルスなど）
・映像送信型性風俗特殊営業（アダルトサイト）
・店舗型電話異性紹介営業（テレクラ）
・無店舗型電話異性紹介営業（ツーショットダイヤル）

（私のコメント）
結果として、アダルト産業にプライバシーマークのお墨付きを与えないようにするというJIPDECの方針は正しいと思いますし、支持します。
ただし今回のように正式な発表がないままに窓口規制をするのは、手続き論として良くないと思います。プライバシーマーク制度の正式な規程の一つである「プライバシーマーク制度における欠格事項及び判断基準」を改正して対応するべきなのではないかと思います。プライバシーマーク制度委員会としては、できるだけ早い時期にこの基準を改正し、今回の内容を欠格性の条件の一つとして正式に盛り込むべきと考えます。

http://privacymark.jp/application/new/case_b/qualification.html

プライバシーマークの制度を運営している（財）日本情報処理開発協会（略称：JIPDEC）・プライバシーマーク推進センターは、1月25日付で「平成22年度 消費者相談担当者向け研修会」開催の案内を出しました。

これは、プライバシーマーク取得済み事業者の消費者相談担当者または個人情報保護管理者等を対象としたもので、3月に東京と大阪で開催されます。

3月1日（火）13:30〜16:30
【東京】ニッショーホール（定員：600名）

3月9日（水）13：30〜16：30
【大阪】クレオ大阪西　ホール（定員：300名）

参加無料だそうです。プライバシーマーク取得済み事業者の担当者の方は業務と調整の上で、参加されることをお勧めします。

お申し込みは下記のURLからどうぞ
http://privacymark.jp/news/2011/0125/index_kenshu.html

プライバシーマークの制度を運営している（財）日本情報処理開発協会（略称：JIPDEC）・プライバシーマーク推進センターは、1月6日付で、一般社団法人モバイル・コンテンツ・フォーラム（略称：MCF）をプライバシーマーク付与認定指定機関（略称：指定機関）に指定したと発表しました。

指定機関とは、JIPDECの指定を受けてプライバシーマークの審査を行うことができる機関です。

今後、モバイル・コンテンツ・フォーラムの正会員は、このモバイル・コンテンツ・フォーラムでPマークの審査を受けることができるようになります。これで指定機関は18団体となりました。

（私のコメント）
モバイル業界は、今もっとも熱い業界ですので、今回の指定機関化は大きな意味を持つと思います。

http://privacymark.jp/news/2011/0106/index.html
http://privacymark.jp/agency/member_list.html
http://www.mcf.to/

プライバシーマークの制度を運営している（財）日本情報処理開発協会（略称：JIPDEC）・プライバシーマーク推進センターが、今年10月から12月にかけて全国で開催した「プライバシーマーク付与事業者向け研修会｣において、個人情報の特定方法に関する一定の考え方を示したようですので、本Blogでもご案内いたします。

当日配布された資料から引用します。

--------------------------------------------------
4.3 個人情報を特定する方法
4. 特定するときの留意点
(1)特定すべき個人情報

事業の用に供する全ての個人情報を特定することが基本である。しかし、事業者は数多くの種類の個人情報を取扱っている。このため、含まれる個人情報が所属や氏名程度で利用目的が本人との連絡や業務管理のためだけであるものは、利用目的を定めて、その範囲内で取扱うことを前提に従業者にその取扱いを委ねて、個人情報取扱申請書や個人情報管理台帳などへ登録して管理することを省略することが出来る。

この類の個人情報には、一般的には名刺、見積書、契約書、請求書、領収書などのほか、連絡用電子メールや事務所内の行き先掲示板に掲載された従業者の個人情報などが考えられる。

「個人情報の特定とリスク分析のポイント」配布資料より引用
Copyright (C)2010 JIPDEC
--------------------------------------------------

というわけで、「名刺、契約書、経理書類などは個人情報台帳にリストアップしなくてよい」と判断してよいと思います。プライバシーマークを取得される事業者の方、並びにすでに取得済みの事業者の方は参考にしていただければと思います。

「平成22年度 プライバシーマーク付与事業者向け研修会｣
http://privacymark.jp/news/2010/0921/index.html

プライバシーマークの制度を運営している（財）日本情報処理開発協会（略称：JIPDEC）・プライバシーマーク推進センターは、10月18日付で、制度の根幹をなす「プライバシーマーク制度設置及び運営要領」を来年3月1日に全面的に改正すると発表しました。

JIPDECでは、今回の改正は、あくまで規程の体系の見直し、文言の修正、記述の詳細化をしただけで制度自体を変更するものではないとしていますが、ある程度は事業者にも影響が出るものと思われます。

主な変更点を列記します。

（１）規程の体系の見直し
・規程を細分化した。
・「事業者用」「指定機関用」「研修機関用」などにグルーピングした。
・「綱領、規則」「規約」「基準」「手順」などに階層化した。

（２）名称の変更
・プライバシーマーク付与認定指定機関→プライバシーマーク指定審査機関
・プライバシーマーク使用許諾証→プライバシーマーク登録証
・プライバシーマーク付与認定番号→プライバシーマーク登録番号
・プライバシーマーク付与認定の審査→プライバシーマーク付与適格性の審査

（３）ロゴの使用について
・「JIS Q 15001:2006準拠」の表記を廃止
・登録番号の右側にある、付与回数を意味する（nn）の表記は任意とする。すなわち省略してもよい。

（４）更新審査に関する時期の変更
・更新申請の期間を現在の「有効期限の3〜4か月前」から「有効期限の4〜8か月前」に変更する（移行期間を設けて、徐々に移行していく）。
・グループ企業が審査を受ける場合、可能な範囲で同時期に審査を受けることができるようになる。

http://privacymark.jp/reference/pdf/pmark_guide101018/Youryo_Kaisei101018.pdf

（私のコメント）
更新申請時期の変更に関しては、事業者側にも影響が出ますね。また、指定機関周りもかなり変わりますので、指定機関の関係者の方はよくご覧になった方がいいと思います。

「JIPDECガイドライン・第2版」について、プライバシーマーク指定機関の一つである（社）コンピュータソフトウェア協会（略称：CSAJ）がその解説セミナーを開催するそうですので、本Blogでもご案内いたします。

主催：（社）コンピュータソフトウェア協会
日時：
【第1回】　平成22年11月18日(木)10:00〜12:00
【第2回】　平成22年12月16日(木)10:00〜12:00
（2回とも同内容）
会場：社団法人コンピュータソフトウェア協会（CSAJ）会議室
〒107-0052 東京都港区赤坂1-9-15 日本自転車会館1号館 5F
講師：社団法人コンピュータソフトウェア協会
プライバシーマーク審査室　主任審査員　村上 正気
対象：会員、一般
参加費：無料
定員：各回40名限定（先着順、事前登録制）

とのことです。

http://www.csaj.jp/seminar/2010/1118_seminar.html

（私のコメント）
講師の村上さんは340件の審査実績を持つ現役の主任審査員ですし、必聴です。今回のセミナーはCSAJの会員ではなくても参加できるようです。すぐにいっぱいになっちゃうような気もしますが、まずは申し込んでみてください。

（財）日本情報処理開発協会（略称：JIPDEC）・プライバシーマーク推進センターは、9月17日付で、書籍として発売済みの「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」（通称：JIPDECガイドライン・第2版）のPDF無償ダウンロード提供を開始しました。

書籍版との違いは、JIS Q 15001:2006の本文の部分が削除されていることです。これは従来通りです。

書籍版の発売時より繰り返していますが、内容的にはPマークで仕事をする人は必ず目を通すべきものであり、今後のPマークの審査において最も重要な文書の一つになります。

http://privacymark.jp/news/2010/0917/index.html

（私のコメント）
今回のJIPDECの情報開示のやり方には疑問が残ります。いきなり書籍版を出して、後日に無償PDF版を出す。事前の説明や予告がありませんでしたので、私などは右往左往して書籍版を購入しました。あまり良い方法とはいえないと思いました。ガイドラインの見直しを実施したことをきちんとJIPDECとして発表し、そして日程を明らかにした上で順次書籍の発売、無償PDF提供と実施するべきだと思います。内容が素晴らしいだけに、残念です。

Pマークの審査基準の一部を構成する「JIPDECガイドライン」が改訂された件を、昨日、速報しましたが、先ほど日本規格協会から書籍が届きました。まだ全ては読めていませんが、全体的に見た内容をご報告いたします。



これがその内容の一部です（これは著作権法に基づく引用です）。

「審査の着眼点」と題して、文書審査と現地審査におけるチェックポイントがかなり詳細に記されています。

これらの内容はこれまで文書化されていなかったので、
・審査員によって言うことが違う。
・コンサルタントが独自の判断で本来は不要な助言をする。
などの混乱が生じていました。今回、それらの内容がかなりのレベルまで文書化されましたので、混乱を収める効果が大きいものと考えます。そういう意味では、とても意義深いと考えます。

しかし、いまだにJIPDECからは正式なアナウンスはないですね。Webサイトにもこのガイドラインの改訂の話は全く出ていません。PDFなどの形式でのダウンロード提供も行われていません。

もしかすると、今後はJISと同じように、このガイドラインもお金を出さないと入手できないようにしたいと考えているのかも知れません。いずれにせよ、JIPDECからの正式なアナウンスを待ちたいと思います。

＜書籍の購入は下記からどうぞ＞

JIS Q 15001:2006 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン［第2版］
財団法人日本情報処理開発協会　プライバシーマーク推進センター　編
http://www.webstore.jsa.or.jp/lib/lib.asp?fn=/jis/jis10_05.htm

Amazonでも買えます。
http://www.amazon.co.jp/dp/4542305376/

※追記＞
記事を書いた後、JIPDECのPマーク事務局にお電話して聞いてみたところ、下記の情報が分かりました。
・このガイドラインは正式なものである。
・当面はPDFなどの形式で無料提供は行わない。
・このガイドラインが出たことで、審査基準が変わるわけではない。
とのことでした。やはりPマークで仕事をしている人は、素直にこの書籍を購入した方がよさそうです。

JIS Q 15001:2006と並んで、プライバシーマークの審査基準の一部を構成しているのが、JIPDECのプライバシーマーク推進センターが発行しているガイドライン（通称：JIPDECガイドライン）です。

現在まで、2006年8月に発行された第1版が有効なものとして流通しており、JIPDECのWebサイトから無料でダウンロードできています。

JIS Q 15001：2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―
財団法人日本情報処理開発協会　プライバシーマーク推進センター　編
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf

JIPDECからの正式な発表はないのですが、
なんと、これが改訂されたらしいのです。
しかも書籍として販売されているのです。

JIS Q 15001:2006 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン［第2版］
財団法人日本情報処理開発協会　プライバシーマーク推進センター　編
http://www.webstore.jsa.or.jp/lib/lib.asp?fn=/jis/jis10_05.htm

Amazonでも販売開始されるようです。
http://www.amazon.co.jp/dp/4542305376/

一方で、Webサイトでの無料公開が行われていないのです。

おそらく、近いうちにWebでのダウンロード提供も行われるものと思いますが、プライバシーマーク関係のお仕事をされている皆様には、有料でもいち早く入手されることをお勧めします。

※未確認情報ですが、重要なので記事として掲載します。続報が入り次第、再度記事にします。

（財）日本情報処理開発協会（略称：JIPDEC）・プライバシーマーク推進センターは、7月12日に、プライバシーマーク制度の公式Webサイト上でこれまで公開してきた「中止事業者」の情報掲載を取りやめると発表しました。

中止事業者とは、「辞退」「合併」「廃業」などの理由によりプライバシーマークを更新せずに権利を放棄した事業者のことですが、従来は公式Webサイトのトップページにおいて中止事業者の総数を掲載し、リンク先のページにおいて認定番号と中止理由を公表していました。今回はこれらの情報公開をすべて取りやめるということのようです。

（私のコメント）
私は「Pマークの取得者数は減っているんですか」「辞退する会社は多いんですか」という質問をよく受けます。そして、従来の中止事業者のリストはよく読めばそのあたりの事情（実際には辞退はそれほど多くはなく、会社合併や廃業などによる中止が多いこと）が分かるはずのものでしたが、多くの方はトップページの総数の表示を見て「Pマークってやめる会社が多いんですね」と受け取られることが多かったようです。なので、今回の掲載取りやめはやむなしと思います。

http://privacymark.jp/

（財）日本情報処理開発協会（略称：JIPDEC）・プライバシーマーク推進センターは、「中小事業者のためのプライバシーマーク制度説明会」の開催を告知しています。

これは「プライバシーマークをこれから取得することを予定している中小事業者」を対象として、プライバシーマークの取得に必要な個人情報保護マネジメントシステム（PMS）の構築方法を説明するものです。

（内容）
* プライバシーマーク制度の概要 （制度のしくみ・申請から付与認定までの手続・審査の流れ・費用等）
* JIS Q 15001「個人情報保護マネジメントシステム-要求事項」の概要 (要求事項の理解、PDCAサイクルとは）
* 個人情報保護マネジメントシステム（PMS）構築と運用のためのステップ （各ステップにおけるポイント等）
* 具体的な申請手続きについて （新規申請時に必要な書類、記載上の注意点）
* 質疑応答

（開催日時）
2010年6月30日（水）13：30〜16：00
機械振興会館 地下３階 研修１（東京都港区芝公園3-5-8）
満員につき受け付け終了
2010年7月30日（金）13：30〜16：00
機械振興会館 地下３階 研修１（東京都港区芝公園3-5-8）
申し込みはこちら

JIPDECでは、これ以降も9月、11月、来年1月、3月の開催を予定しているそうです。プライバシーマークの取得をお考えの方は是非参加されることをお勧めします。

※なお、弊社でも同趣旨のセミナーを定期的に開催しております。
ご参考まで。
弊社のセミナーのご案内はこちら

日本情報処理開発協会（JIPDEC）は、10月30日付で、特定非営利活動法人中四国マネジメントシステム推進機構（略称：中四国MS機構）をプライバシーマーク付与認定指定機関（略称：指定機関）に指定したと発表しました。

指定機関とは、JIPDECの指定を受けてプライバシーマークの審査を行うことができる機関です。

今回、新たに指定された中四国MS機構は、中国地方・四国地方に本社が所在する事業者（但し、医療・保健・福祉分野の事業を営む事業者を除く）の審査を担当することになるとのことです。

これで指定機関は17団体となり、全国各地域における指定期間の体制整備が完了したため、地域を対象とする指定期間の募集は終了すると、JIPDECではしています。 

 （私のコメント）
これで全国の指定機関の整備が完了ですね。JIPDECの審査員の方は地方出張の機会が減って、寂しいのではないかしら。。。。（笑）

http://privacymark.jp/news/2009/1030/ms.html
http://www.ms-kikoh.or.jp/index.html

（財）日本情報処理開発協会（略称：JIPDEC）・プライバシーマーク事務局は、9月3日付けで、プライバシーマーク公式Webサイト上において、「FAQ：個人情報の取扱いにおける事故等の報告について」を発表しました。

従来、プライバシーマーク取得事業者が個人情報事故を起こした際に、どの程度の大きさの事故の場合に報告するべきなのか、報告しなくてよい場合があるのか、ということがはっきりしていませんでしたが、今回の発表で明確になりました。

JIPDECの判断は、「基本的にどんな場合でも報告してください」ということのようです。

唯一、報告しなくてもよいとされるのが、「配送時の事故」です。しかし、これも、内容物に個人情報が含まれない場合(個人情報が宛先のみの場合)に限られます。内容物に個人情報が含まれる場合には、報告せよと言うのがJIPDECの判断のようです。

（私のコメント）
かなり厳しいですね。プライバシーマーク取得済み事業者の皆様は、くれぐれも事故を起こさないようにしてください。また、事故を起こしてしまった場合には、基本的にJIPDEC（または審査をお願いした指定機関）に連絡しなければいけない、これがスタンダードだということになります。

http://privacymark.jp/privacy_mark/faq/accident_report.html

プライバシーマークの指定機関（審査を行う権限をJIPDECから付与されている機関）の一つである（財）日本データ通信協会（東京都豊島区、略称：デ協）は、7月10日に同協会Pマーク推進室の3周年を記念して都内で関係者向けプライバシーマークセミナーを開催しました。

セミナーの冒頭において、同協会Pマーク推進室長の松田治男氏が講演を行いました。松田氏の講演は、Pマーク審査の実態を詳しく説明しており、大変参考になるものでした。概要を報告します。

●デ協ではもともと旧郵政省のガイドラインをもとにした「個人情報保護マーク」を運用していましたが、2005年9月をもってこれを廃止し、2006年6月から「プライバシーマーク」の指定機関としての認証活動を開始した。審査対象は、情報通信事業関連7団体の会員企業ならびに情報通信事業に関連する事業者であり、すでに審査件数は500社を超えたとのことです（デ協では、かなり広い範囲で審査を行っています。詳しくはデ協で審査を受けた事業者のリストをご参照下さい）。

●現在、審査員15名が登録しており、6チーム（2名一組）が同時並行的に審査を行っているとのこと。また審査会メンバーは5名であり、その中に、同日、松田氏の後に講演を行った鈴木正朝氏や丸山満彦氏が含まれるとのこと。

●審査の方針としては「迅速・懇切丁寧な審査業務の実現」を掲げていて、過去の実績としては申請から平均54日で現地審査、平均73日で審査会付議されていて、申請の3ヶ月後に認定されているという。また、相談に関してはコンサルにならない範囲内で質問に対応するという。

●審査のポイントとしては、今年5月から現地審査のやり方を変えていて、
1)事故事例から導き出された安全対策の審査項目を追加（業務用携帯電話の紛失対策など）
2)採用業務など全ての業務を一律に審査するのではなく、主要業務の流れに沿って安全対策を確認し、実際にPCなどでの運用状況を確認する。
3)特定電子メール法に則った同意を正しく取っていることを確認する。
4)電気通信事業者に関しては、通信の秘密を正しく教育しているかを教育資料などで確認する。
などを行っているという。

●結果として、指摘事項の数は、文書審査の段階で平均15件、現地審査後の段階で平均12件となっているという。指摘事項は、多いものから
1)個人情報の特定漏れ
2)直接書面による取得時の通知内容の不足
3)JISとの適合性チェックにおける不適合
4)委託先の認識漏れ
5)リスク分析の漏れ
などとなっているという。

（私のコメント）
デ協のセミナーは、昨年に引き続き開催されたもので、松田室長の後に講演された3名の方々の内容も大変興味深いものでした。このセミナーは一般には告知されていないようですが、来年度以降も開催される際には、アンテナを張っていると何らかの形で案内が来るものと思われますので、興味のある方は是非参加されることをオススメします。私は、デ協の審査の素早さに関しては、弊社のお客様がスピード取得を実現される際に大きな助けになっており、大変感謝しています。同時に、デ協が今後も今の状態を継続してくれることを願っており、関係者の皆様の奮闘に期待いたします。

http://www.dekyo.or.jp/pmark/

報道によりますと、警視庁ハイテク犯罪対策総合センターは、2月20日までに、勤務先企業のサーバーに不正アクセスして顧客情報約18万件を入手し出会い系サイト運営会社に流出させたとして、東京都多摩市、無職、八木塁容疑者（28）を不正アクセス禁止法違反容疑で逮捕したとのことです。

八木容疑者は、株式会社エンターモーション（東京都目黒区・プライバシーマーク取得済）の元社員で、昨年10月14日に、同社が受託していた携帯用サイトの管理システムを不正に操作して、新宿区のインターネットカフェから、自身の業務用ノートパソコンを使って、メールアドレスなどの会員情報計約18万件をダウンロードしたとのこと。

入手した情報は、出会い系サイト運営会社などに販売され、迷惑メールや架空請求メールが送信されたという。

彼は、事件発覚後、同社を懲戒解雇された。

（私のコメント）
同社は、プライバシーマーク取得事業者でもありました。社員の不正行為とはいえ、会社としての管理責任もあるわけですから、プライバシーマーク事務局が何らかの処分を下す可能性はありますね。

http://www.entermotion.jp/news/20090220.html
http://www.entermotion.jp/news/20081216.html
http://www.entermotion.jp/news/20081201.html
http://www.entermotion.jp/news/20081104.html
http://www.entermotion.jp/news/20081031.html

http://privacymark.jp/news/20080418/shinkekkakuseihandan_080418.pdf

日本情報処理開発協会(略称：JIPDEC）のプライバシーマーク推進センターは、10月27日付で、｢プライバシーマーク制度説明会｣及び｢個人情報保護マネジメントシステム(PMS)構築相談会｣を全国で開催すると発表した。

｢プライバシーマーク制度説明会｣は、過去にも開催されていたものと同様のイベントで、制度一般に関する情報を得ることができるもの。誰でも参加可能です。

｢個人情報保護マネジメントシステム(PMS)構築相談会｣は、今回はじめての新企画で、プライバシーマークの取得を検討している中小規模の事業者に対して、個人情報保護体制の構築とプライバシーマーク取得支援を目的として1社30分ずつの個別相談を受け付けてくれるそうです。事前にヒアリングシートを提出して、それに基づいて助言をもらえるようです。

（私のコメント）
プライバシーマーク事務局が、このようなイベントを定期的に開催してくれることは歓迎すべきことですね。しかも、個別相談会はとてもよい試みだと思います。是非、これで制度自体がさらに活性化していってくれればと思います。

http://privacymark.jp/
http://privacymark.jp/news/20081027/Setsumeikai.pdf

プライバシーマーク制度を運営している財団法人日本情報処理開発協会（略称：JIPDEC）のプライバシーマーク推進センターは、6月30日付で、中国・大連ソフトウェア産業協会(DSIA)が運用するPIPAマークとの相互承認を開始したと発表した。

PIPAマークとの相互承認は、以前より非公式にアナウンスされていましたが、これで正式に発表になりました。

PIPAマーク自体が中国の制度で、中国語でしか情報がないため、分からないことが多いのですが、JIPDECの発表文、JIPDECへの電話での問い合わせ結果、ネット上の情報などを総合して、情報をまとめてみます。

まず、大連ソフトウェア産業協会(DSIA)が定める｢大連ソフトウェア及び情報サービス業個人情報保護規範｣が第2版となり、JIS Q 15001:2006をほぼそのまま満たすように改定されたようです。これにより、この規範に基づくPIPAマークが、Pマークと同等の水準であるとみなすことが可能になり、今回の大規模な相互承認となったようです。

JIPDECの発表文では「日本のPマーク認定事業者と中国・大連市のPIPAマーク認定事業者は『相互認証マーク』を使用することができます」となっています。この相互認証マークのデザインは未発表で、現在商標登録などの手続きを行っているとのことです。

この相互承認という考え方、ややこしいので整理しておきたいと思います。

日本のPマーク取得事業者、中国のPIPAマーク取得事業者が、
A)相手国において商談活動やプロモーション活動を行うに当たって、この「相互認証マーク」を使用して自国の自社の事業所の安全性を訴求することは可能。
B)相手国において商談活動やプロモーション活動を行うに当たって、この「相互認証マーク」を使用して相手国の自社の事業所の安全性を訴求することはできない。

という整理になると思います。なぜかというと、海を渡っての審査は行われていませんし、今後も予定されていないからです。

ですから、例えば、Pマーク取得している日本企業が、中国における現地法人での個人情報の取扱の安全性を訴求したいのであれば、現地でPIPAマークを取得する必要が出てきますし、PIPAマークを取得している中国企業が、日本における現地法人での個人情報の取扱の安全性を訴求したいのであれば、日本でPマークを取得する必要があります。

ま、それにしても、基準が同じであるということは素晴らしいことで、日本の個人情報保護マネジメントシステムを翻訳すればそのまま中国でも通用するわけですから、これは本当に素晴らしいことだと思います。

JIPDECの発表文は「JIPDECは将来的にDSIAを窓口として中国全土にPマークが普及されるものと期待しています」という力強い締めくくりになっています。実際には、Pマークの審査が中国で行われるわけではないため、実際に普及するのはPIPAマークということになると思いますが、中身は事実上Pマークなんだということなんだろうと思います。

http://privacymark.jp/news/20080703/Dairen_20080630.pdf

http://www.pipa.gov.cn/