(財)日本情報処理開発協会(略称:JIPDEC)・プライバシーマーク事務局は、4月18日付けで、「プライバシーマーク制度における欠格性の判断基準」を公表しました。
これは、昨年11月に発表された「プライバシーマーク制度設置及び運営要領」における10段階の欠格レベルに関して、できる限り基準を明確にしたものです。

最も明確な基準は「故意かどうか」ということであり、もし会社ぐるみで故意に個人情報の取扱いに関する事故を起こした場合には、その事故の規模の大小を問わず「欠格レベル10」と認定されて、認定事業者の場合は「認定取り消し」、審査中の事業者の場合は「否認決定」、申請検討中事業者の場合には「1年間の申請不可」という厳しい罰が与えられることになります。

一方、不可抗力(対策不可能な災害や事故等)の場合には、その事故の規模の大小を問わず「欠格レベル0」と認定されて、何の処分も行われないことになります。

「故意」にも「不可抗力」にもあたらない場合には、「過失」となり、その事故の影響の大小などを判断して、欠格レベルが決定されるということのようです。

(私のコメント)
実際には、まだまだ明確な基準といえるものにはなっておらず、不明確な基準ではありますが、少しずつでも基準が文書化されていくことは好ましいいことと思います。

また、今回新しく取り込まれた「故意かどうか」という概念は興味深いです。不二家食品衛生事件では、ISO9000を取得しているのにどうしてこんな品質問題が起こったのか、いや、ISO9000は品質の絶対基準を保証するものではないので、、、、というような話がありました。プライバシーマーク制度についても、JIS Q 15001が絶対的な水準を保証するものではない以上、プライバシーマーク取得事業者が個人情報に関する事故を起こしたとしても、同様にJIS Q 15001は個人情報保護の絶対基準を規定しているものではないので、、、という話が起こりうるわけですが、少なくともプライバシーマークを運用するJIPDECとしては、故意に個人情報の取扱いに関する事故を起こした場合には、マーク使用許可を取り消すという強い意向を打ち出したものと言えると思います。このJIPDECの姿勢を私は高く評価します。

http://privacymark.jp/news/20080425/Ichibureigai_080425.pdf
http://privacymark.jp/



週に一回程度、更新情報をお届けします

こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)

メンバー募集

オプティマ・ソリューションズは、個人情報保護のためにPマーク・ISMSの取得を通して、様々な企業様をサポートするコンサルティング&サービス会社です。未経験者でも大歓迎です!明るく、真剣に打ち込める環境で一緒に働きましょう!

✅ Pマーク/ISMSコンサルタント
✅ 営業
✅ 広報

興味がある方、ぜひこちらからご連絡ください!