プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: プライバシーマーク

sgs_logo
本日の日経新聞朝刊に「個人情報保護、認証に新方式 SGSなど6月から」という記事が出ていました。記事だけでは詳細がわかりませんでしたので、SGSジャパン株式会社(神奈川県横浜市)の営業担当の方に問い合わせてみました。

・最近、ISMS認証(ISO27001準拠)を取得した事業者より、Pマーク(JIS Q 15001準拠)との二重運用が大変なので一緒に審査してもらえないかという要望が来るようになった。
・そこで、SGSが独自にJIS Q 15001に適合していることを審査して認証する制度を始めることにした。マークもSGSで独自に発行する。
・法人単位のPマークとは違って、事業部やサービスなど自由な単位で対象範囲を設定できるので、大きな組織でPマーク取得が困難な場合にはメリットがある。
・本認証制度は、毎年一回の継続審査、3年に一回の更新審査を行う。(Pマークは2年に一回の更新審査のみ)
・記事では4認証機関で導入となっていますが、実際には相互のつながりはなく、それぞれで独自に進めている。

とのことでした。

今回の新しい認証制度は、ISOで実績のある審査機関が審査を実施するものですので、一定以上の信頼性をおいてよく、同じJIS Q 15001に適合していることを審査するわけですから、Pマークと同等の水準であるとみなすことに問題ないのではないかと思います。

特に法人間取引(B2B)で取引の際の条件の一つとしてPマークが利用されることが多くなっています。この認証制度がPマークと同様のものとみなされるかどうかが、今後の普及のカギを握ると思います。

http://www.jp.sgs.com/ja/home_jp_v2.htm

20100331
3月31日現在、プライバシーマーク公式ウェブサイト上での付与事業者数は 11,296社です。昨年3月31日現在の数字が、10,193社でしたので、1,103社の増加です。とりあえず、速報で流します。後ほど詳細な情報を流します。

日本情報処理開発協会(JIPDEC)は、10月30日付で、特定非営利活動法人中四国マネジメントシステム推進機構(略称:中四国MS機構)をプライバシーマーク付与認定指定機関(略称:指定機関)に指定したと発表しました。

指定機関とは、JIPDECの指定を受けてプライバシーマークの審査を行うことができる機関です。

今回、新たに指定された中四国MS機構は、中国地方・四国地方に本社が所在する事業者(但し、医療・保健・福祉分野の事業を営む事業者を除く)の審査を担当することになるとのことです。

これで指定機関は17団体となり、全国各地域における指定期間の体制整備が完了したため、地域を対象とする指定期間の募集は終了すると、JIPDECではしています。 

 (私のコメント)
これで全国の指定機関の整備が完了ですね。JIPDECの審査員の方は地方出張の機会が減って、寂しいのではないかしら。。。。(笑)

http://privacymark.jp/news/2009/1030/ms.html
http://www.ms-kikoh.or.jp/index.html

logo_jipdec(財)日本情報処理開発協会(略称:JIPDEC)・プライバシーマーク事務局は、9月3日付けで、プライバシーマーク公式Webサイト上において、「FAQ:個人情報の取扱いにおける事故等の報告について」を発表しました。

従来、プライバシーマーク取得事業者が個人情報事故を起こした際に、どの程度の大きさの事故の場合に報告するべきなのか、報告しなくてよい場合があるのか、ということがはっきりしていませんでしたが、今回の発表で明確になりました。

JIPDECの判断は、「基本的にどんな場合でも報告してください」ということのようです。

唯一、報告しなくてもよいとされるのが、「配送時の事故」です。しかし、これも、内容物に個人情報が含まれない場合(個人情報が宛先のみの場合)に限られます。内容物に個人情報が含まれる場合には、報告せよと言うのがJIPDECの判断のようです。

(私のコメント)
かなり厳しいですね。プライバシーマーク取得済み事業者の皆様は、くれぐれも事故を起こさないようにしてください。また、事故を起こしてしまった場合には、基本的にJIPDEC(または審査をお願いした指定機関)に連絡しなければいけない、これがスタンダードだということになります。

http://privacymark.jp/privacy_mark/faq/accident_report.html

JIS Q 15001:2006
プライバシーマークホームページに掲載されているプライバシーマーク取得事業者のリストを元に、本Blogが独自に集計した結果によると、7月14日現在、2006年版JISに移行していない事業者の数が1000社を下回ったことが判明しました。



JIS Q 15001:2006 9518社(90.7%)
JIS Q 15001:1999 973社(9.3%)

審査機関別に見ると、

JIPDEC 778社(13.2%)
KIIS  104社(8.7%)
MEDIS-DC 36社(12.9%)

となっています。

(私のコメント)
JIS Q 15001の2006年版への移行が、あと1000社を切り、ようやく最終段階に来たということで、めでたいニュースではあるのですが、実際のところ、まだ2006年版に移行していない973社には移行申請を出していないところも多いものと推測されますが、それらの事業者は現在の有効期限を持ってプライバシーマークを返上することになります。

2008年、プライバシーマーク取得事業者数が1万社をなかなか超えず、停滞していたことを分析してみますと、2006年版のJISが登場して以来、移行の負担に耐えられず、更新申請をせずに期限切れでプライバシーマークを返上した事業者がかなりの数にのぼっており、これが取得事業者数の引き下げ圧力となっていたために、なかなか1万社を超えなかったのではないかと思います。

ですから、まだ2006年版に移行していない973社のうち、ざっくりいって半数が更新辞退だと推定すると、まだ500社弱の引き下げ圧力があるということになり、当分はこの引き下げ圧力は続くということになります。

こういう数字の分析をしてみますと、JIS Q 15001の2006年版への改訂は必要なことであったとはいえ、事業者に負担を強いるプライバシーマークの制度変更を実施すると、更新辞退する事業者が増えるということです。ですから、JIPDECならびに関係機関は、制度維持に本当に必要不可欠な制度変更に限らないといけない、そういうことがいえると思います。

http://privacymark.jp/certification_info/list/clist.html

dekyo_20090710プライバシーマークの指定機関(審査を行う権限をJIPDECから付与されている機関)の一つである(財)日本データ通信協会(東京都豊島区、略称:デ協)は、7月10日に同協会Pマーク推進室の3周年を記念して都内で関係者向けプライバシーマークセミナーを開催しました。

セミナーの冒頭において、同協会Pマーク推進室長の松田治男氏が講演を行いました。松田氏の講演は、Pマーク審査の実態を詳しく説明しており、大変参考になるものでした。概要を報告します。

●デ協ではもともと旧郵政省のガイドラインをもとにした「個人情報保護マーク」を運用していましたが、2005年9月をもってこれを廃止し、2006年6月から「プライバシーマーク」の指定機関としての認証活動を開始した。審査対象は、情報通信事業関連7団体の会員企業ならびに情報通信事業に関連する事業者であり、すでに審査件数は500社を超えたとのことです(デ協では、かなり広い範囲で審査を行っています。詳しくはデ協で審査を受けた事業者のリストをご参照下さい)。

●現在、審査員15名が登録しており、6チーム(2名一組)が同時並行的に審査を行っているとのこと。また審査会メンバーは5名であり、その中に、同日、松田氏の後に講演を行った鈴木正朝氏や丸山満彦氏が含まれるとのこと。

●審査の方針としては「迅速・懇切丁寧な審査業務の実現」を掲げていて、過去の実績としては申請から平均54日で現地審査、平均73日で審査会付議されていて、申請の3ヶ月後に認定されているという。また、相談に関してはコンサルにならない範囲内で質問に対応するという。

●審査のポイントとしては、今年5月から現地審査のやり方を変えていて、
1)事故事例から導き出された安全対策の審査項目を追加(業務用携帯電話の紛失対策など)
2)採用業務など全ての業務を一律に審査するのではなく、主要業務の流れに沿って安全対策を確認し、実際にPCなどでの運用状況を確認する。
3)特定電子メール法に則った同意を正しく取っていることを確認する。
4)電気通信事業者に関しては、通信の秘密を正しく教育しているかを教育資料などで確認する。
などを行っているという。

●結果として、指摘事項の数は、文書審査の段階で平均15件、現地審査後の段階で平均12件となっているという。指摘事項は、多いものから
1)個人情報の特定漏れ
2)直接書面による取得時の通知内容の不足
3)JISとの適合性チェックにおける不適合
4)委託先の認識漏れ
5)リスク分析の漏れ
などとなっているという。

(私のコメント)
デ協のセミナーは、昨年に引き続き開催されたもので、松田室長の後に講演された3名の方々の内容も大変興味深いものでした。このセミナーは一般には告知されていないようですが、来年度以降も開催される際には、アンテナを張っていると何らかの形で案内が来るものと思われますので、興味のある方は是非参加されることをオススメします。私は、デ協の審査の素早さに関しては、弊社のお客様がスピード取得を実現される際に大きな助けになっており、大変感謝しています。同時に、デ協が今後も今の状態を継続してくれることを願っており、関係者の皆様の奮闘に期待いたします。

http://www.dekyo.or.jp/pmark/

JIS Q 15001:2006プライバシーマークホームページに掲載されているプライバシーマーク取得事業者のリストを元に、本Blogが独自に集計した結果によると、3月31日現在におけるプライバシーマークの準拠規格の比率が、下記のようになっていることが判明した。




JIS Q 15001:2006 7881社(77.3%)
JIS Q 15001:1999 2312社(22.7%)

審査機関別に見ると、

JIPDEC 1935社(31.4%)
KIIS  157社(15.5%)
MEDIS-DC 75社(27.1%)

となっており、JIPDECに申請している事業者が、最も移行比率が低いことが分かりました。これは、
・JIPDECは審査に時間がかかる傾向があることを示している。
または
・更新の申請をしていない事業者が多いことを示している。
のいずれか、または両方を示していると思われます。

2312社の個人情報保護管理者の皆様、それからその審査を担当している審査員の皆様、あともう少しと思います。がんばってください!

http://privacymark.jp/certification_info/list/clist.html

pmark_20083月31日17時30分現在で、プライバシーマーク公式ウェブサイト上の付与事業者数は、10,193社です。この数字、見逃すと分からなくなってしまいますので、覚書として記録しておきます。

昨年3月31日現在の数字が、9,243社のようですので、950社の増加となります。
なお、中止事業者もありますので、年間で新規に取得した事業者数が950というわけではありません。2008年度に新規にPマークを取得した事業者は、1631社のようです。

ちなみに、過去の数字の元ネタはこのサイトです。
継続的に数字を記録していただいて、頭が下がります。
http://www.jscl.co.jp/topics/08.1-6.html

最新の数字の元ネタは当然JIPDECです。
http://privacymark.jp/certification_info/list/clist.html

取得事業者数推移
プライバシーマーク制度を運営している財団法人日本情報処理開発協会(略称:JIPDEC)のプライバシーマーク推進センターは、自らが運営するプライバシーマーク公式ウェブサイトにおいて、2月10日現在、プライバシーマークの取得事業者数が10,022社であることを公表しました。

プライバシーマークの取得事業者数は、2005年4月の個人情報保護法施行をきっかけとして急増し、2007年度の9000社台まで順調に伸びてきましたが、その後伸び悩み現象が見られていました。今回、少し時間がかかりましたが、正式に1万社を突破したことになります。

なお、ISMS認証の方は1月に3000社台を実現しています。

(私のコメント)
何はともあれ、無事1万社突破してよかったと思います。今後も、プライバシーマークという制度が社会によい影響を与えるものとなるように、私たちとしてもがんばっていきたいと思います。


http://privacymark.jp/certification_info/list/clist.html

プライバシーマークの取得事業者数は、今年に入って9000社を突破して以来、なかなか1万社の壁を破ることができず、9000社台にいます。どうして、1万社を超えないのか、理由を調査してみました。

(1)新規取得事業者数は約35%減少

2008年4月以降の新規取得事業者数は、下記の通りです。
4月 166社
5月 149社
6月 221社
7月 126社
8月 126社
9月 152社
10月 123社(29日現在)
合計 1063社
平均 151.8社

2007年の同月と比較します。
4月 274社
5月 181社
6月 294社
7月 291社
8月 184社
9月 226社
10月 192社
合計 1642社
平均 234.6社
ほぼ35%減ですね。
かなりの減速と言えると思います。

(2)中止事業者は5%程度

10月29日現在の中止事業者が703社、
今年の3月31日時点での中止事業者が485社でしたので、
今年度に入り218社がマーク使用を中止していることになります。

2年前の2006年度といえば、取得事業者数が7000程度でした。7ヶ月で218社が使用中止ということは年間に伸ばすと373社となりますので、約5%が更新せずにこぼれていっている計算になります。

(3)まとめ

まとめると、新規取得事業者数は確かに減少傾向にある。これに追い討ちをかけているのが大量取得ブームに乗って取得したものの更新するまでの必要性がなく約5%の事業者が更新していないという実態といえます。このぎりぎりのバランスの中で、かろうじて取得事業者数がマイナスになっていないという現状が見えました。

新規取得事業者数がゼロになっているわけではないですし、今後もゼロになるわけではないのですが、取得事業者数の総計に関しては、1万行くか行かないくらいがひとつのバランスの取れた状態であり、今後に関しては予断を許さない状態にあるというのが、私が調査した結論です。

今後は、11月19日に2006年版JISへの更新期限を迎えて、更新せずにマーク使用中止する事業者がどの程度出てくるかにかかっていると思います。

http://privacymark.jp/

※11月11日、一部書き換えました。当初「中止事業者は約1割」としていましたが、母数の取り方が間違えていましたので、「5%程度」という表現に変更します。

日本情報処理開発協会(略称:JIPDEC)のプライバシーマーク推進センターは、10月27日付で、「プライバシーマーク制度説明会」及び「個人情報保護マネジメントシステム(PMS)構築相談会」を全国で開催すると発表した。

「プライバシーマーク制度説明会」は、過去にも開催されていたものと同様のイベントで、制度一般に関する情報を得ることができるもの。誰でも参加可能です。

「個人情報保護マネジメントシステム(PMS)構築相談会」は、今回はじめての新企画で、プライバシーマークの取得を検討している中小規模の事業者に対して、個人情報保護体制の構築とプライバシーマーク取得支援を目的として1社30分ずつの個別相談を受け付けてくれるそうです。事前にヒアリングシートを提出して、それに基づいて助言をもらえるようです。

(私のコメント)
プライバシーマーク事務局が、このようなイベントを定期的に開催してくれることは歓迎すべきことですね。しかも、個別相談会はとてもよい試みだと思います。是非、これで制度自体がさらに活性化していってくれればと思います。

http://privacymark.jp/
http://privacymark.jp/news/20081027/Setsumeikai.pdf

プライバシーマーク制度を運営している財団法人日本情報処理開発協会(略称:JIPDEC)のプライバシーマーク推進センターは、6月30日付で、中国・大連ソフトウェア産業協会(DSIA)が運用するPIPAマークとの相互承認を開始したと発表した。

PIPAマークとの相互承認は、以前より非公式にアナウンスされていましたが、これで正式に発表になりました。

PIPAマーク自体が中国の制度で、中国語でしか情報がないため、分からないことが多いのですが、JIPDECの発表文、JIPDECへの電話での問い合わせ結果、ネット上の情報などを総合して、情報をまとめてみます。

まず、大連ソフトウェア産業協会(DSIA)が定める「大連ソフトウェア及び情報サービス業個人情報保護規範」が第2版となり、JIS Q 15001:2006をほぼそのまま満たすように改定されたようです。これにより、この規範に基づくPIPAマークが、Pマークと同等の水準であるとみなすことが可能になり、今回の大規模な相互承認となったようです。

JIPDECの発表文では「日本のPマーク認定事業者と中国・大連市のPIPAマーク認定事業者は『相互認証マーク』を使用することができます」となっています。この相互認証マークのデザインは未発表で、現在商標登録などの手続きを行っているとのことです。

この相互承認という考え方、ややこしいので整理しておきたいと思います。

日本のPマーク取得事業者、中国のPIPAマーク取得事業者が、
A)相手国において商談活動やプロモーション活動を行うに当たって、この「相互認証マーク」を使用して自国の自社の事業所の安全性を訴求することは可能。
B)相手国において商談活動やプロモーション活動を行うに当たって、この「相互認証マーク」を使用して相手国の自社の事業所の安全性を訴求することはできない。

という整理になると思います。なぜかというと、海を渡っての審査は行われていませんし、今後も予定されていないからです。

ですから、例えば、Pマーク取得している日本企業が、中国における現地法人での個人情報の取扱の安全性を訴求したいのであれば、現地でPIPAマークを取得する必要が出てきますし、PIPAマークを取得している中国企業が、日本における現地法人での個人情報の取扱の安全性を訴求したいのであれば、日本でPマークを取得する必要があります。

ま、それにしても、基準が同じであるということは素晴らしいことで、日本の個人情報保護マネジメントシステムを翻訳すればそのまま中国でも通用するわけですから、これは本当に素晴らしいことだと思います。

JIPDECの発表文は「JIPDECは将来的にDSIAを窓口として中国全土にPマークが普及されるものと期待しています」という力強い締めくくりになっています。実際には、Pマークの審査が中国で行われるわけではないため、実際に普及するのはPIPAマークということになると思いますが、中身は事実上Pマークなんだということなんだろうと思います。

http://privacymark.jp/news/20080703/Dairen_20080630.pdf

http://www.pipa.gov.cn/

↑このページのトップヘ