プライバシーマークの審査権限を持つ指定機関の一つである社団法人情報サービス産業協会（略称：JISA）は、24日付で、昨年個人情報流出事件を起こした三菱電機インフォメーションシステムズ株式会社（以下、 MDISと表記。東京都港区、プライバシーマーク取得済）のプライバシーマーク付与認定を一時停止（２ヶ月）にすると発表しました。

これは、MDIS社が昨年9月28日と11月30日に発表した、図書館システムからの個人情報流出事件を受けたもので、JISAのプライバシーマーク審査会とJIPDECのプライバシーマーク制度委員会の審議・承認を経て実施されたものです。

（私のコメント）
MDIS社については、いろいろと思うことがありますが、過去にも書きましたので控えます。むしろ今回はJISAの対応の問題を指摘したいです。JISAが昨年12月にMDIS社のPマーク更新を認めたことに対して、ネット上では「Pマーク終了のお知らせ」といった強烈な拒否反応が起きました。当然です。これだけの事件を起こした会社が何の処分もなく、更新できるのか、それがプライバシーマークなのかと、そういう反応を巻き起こしたわけです。しかし、実際にはPマークの更新審査と欠格性の判断は別に進んでいて、今になって欠格性の判断に基づく一時停止措置が実施されたというわけですよね。この二つが別々に処理されるのは非常によくないです。事故を起こして欠格性の判断が行われている事業者に対しては、Pマーク更新審査をストップするのが当然なのではないかと思います。プライバシーマークが日本の社会に広く受け入れられるようになるためにも今後の改善を求めたいです。

http://privacymark.jp/certification_info/list/rlist.html（JIPDEC）
http://www.jisa.or.jp/privacy/pr/download/110124.pdf（JISA）
http://www.mdis.co.jp/news/topics/2011/0124.html（MDIS）
http://www.jisa.or.jp/privacy/download/201007.pdf
http://togetter.com/li/80397

以前の記事
http://www.pmarknews.info/archives/51622629.html
http://www.pmarknews.info/archives/51592690.html

プライバシーマークの制度を運営している（財）日本情報処理開発協会（略称：JIPDEC）・プライバシーマーク推進センターは、1月6日付で、一般社団法人モバイル・コンテンツ・フォーラム（略称：MCF）をプライバシーマーク付与認定指定機関（略称：指定機関）に指定したと発表しました。

指定機関とは、JIPDECの指定を受けてプライバシーマークの審査を行うことができる機関です。

今後、モバイル・コンテンツ・フォーラムの正会員は、このモバイル・コンテンツ・フォーラムでPマークの審査を受けることができるようになります。これで指定機関は18団体となりました。

（私のコメント）
モバイル業界は、今もっとも熱い業界ですので、今回の指定機関化は大きな意味を持つと思います。

http://privacymark.jp/news/2011/0106/index.html
http://privacymark.jp/agency/member_list.html
http://www.mcf.to/

いつもお世話になります。
オプティマ・ソリューションズの中康二です。

プライバシーマークの制度を運営している（財）日本情報処理開発協会（略称：JIPDEC）・プライバシーマーク推進センターが、今年10月から12月にかけて全国で開催した「プライバシーマーク付与事業者向け研修会｣において、個人情報の特定方法に関する一定の考え方を示したようですので、本Blogでもご案内いたします。

当日配布された資料から引用します。

--------------------------------------------------
4.3 個人情報を特定する方法
4. 特定するときの留意点
(1)特定すべき個人情報

事業の用に供する全ての個人情報を特定することが基本である。しかし、事業者は数多くの種類の個人情報を取扱っている。このため、含まれる個人情報が所属や氏名程度で利用目的が本人との連絡や業務管理のためだけであるものは、利用目的を定めて、その範囲内で取扱うことを前提に従業者にその取扱いを委ねて、個人情報取扱申請書や個人情報管理台帳などへ登録して管理することを省略することが出来る。

この類の個人情報には、一般的には名刺、見積書、契約書、請求書、領収書などのほか、連絡用電子メールや事務所内の行き先掲示板に掲載された従業者の個人情報などが考えられる。

「個人情報の特定とリスク分析のポイント」配布資料より引用
Copyright (C)2010 JIPDEC
--------------------------------------------------

というわけで、「名刺、契約書、経理書類などは個人情報台帳にリストアップしなくてよい」と判断してよいと思います。プライバシーマークを取得される事業者の方、並びにすでに取得済みの事業者の方は参考にしていただければと思います。

「平成22年度 プライバシーマーク付与事業者向け研修会｣
http://privacymark.jp/news/2010/0921/index.html

また、何か情報が入りましたら、皆様にシェアいたしますね。

プライバシーマークの制度を運営している（財）日本情報処理開発協会（略称：JIPDEC）・プライバシーマーク推進センターは、11月9日付で「個人情報の取扱いの再確認について（注意喚起）」と題した文書を発表し、その中で各地方自治体の条例を遵守するように注意喚起しました。

プライバシーマークの審査においては、従来からも地方自治体の条例を「規範とする文書」に洗い出し、それに従うことが行われてきていますが、多くの条例は事業者向け義務規定として個人情報保護法やJIS Q 15001より厳しい内容を規定している場合が殆どないため、内容を精査することなく形骸化していた実態があると思います。

しかし、JIPDECでは、今回「条例にきちんと従うように」「委託先にも条例に従わせるように」という注意喚起を行いました。

実際に注意すべき条例の例として、下記の2つの例を挙げています。

１）東京都個人情報保護条例は、取り扱う個人情報の量にかかわりなく事業者に責務を課しており、個人データが5000人以下の事業者を免除している個人情報保護法より厳しくなっている。

２）大阪府個人情報保護条例は、特定の機微な個人情報（センシティブ情報）に関して特に慎重に取り扱うこととしており、その中に「人種、氏族に関する情報や旧同和対策事業対象地域に居住し、または居住していたこと、その他その地域の出身であることに関する個人情報、詳細な本籍地に関する情報、犯罪歴に関する情報」などを具体的に含んでおり、JIS Q 15001よりも厳密に規定している。

などがあるようです。

http://privacymark.jp/reference/pdf/kojinjoho_manage101109.pdf

（私のコメント）
今回の文書は「プライバシーマークの審査で事業者が所在する地方自治体の個人情報保護条例を軽視してもらっては困る」という意思表示だと思います。細かい点とは思いますが、制度の管理者としてのJIPDECの意思表示を尊重すべきだと思いますし、尊重したいと思います。

プライバシーマークの制度を運営している（財）日本情報処理開発協会（略称：JIPDEC）・プライバシーマーク推進センターは、10月18日付で、制度の根幹をなす「プライバシーマーク制度設置及び運営要領」を来年3月1日に全面的に改正すると発表しました。

JIPDECでは、今回の改正は、あくまで規程の体系の見直し、文言の修正、記述の詳細化をしただけで制度自体を変更するものではないとしていますが、ある程度は事業者にも影響が出るものと思われます。

主な変更点を列記します。

（１）規程の体系の見直し
・規程を細分化した。
・「事業者用」「指定機関用」「研修機関用」などにグルーピングした。
・「綱領、規則」「規約」「基準」「手順」などに階層化した。

（２）名称の変更
・プライバシーマーク付与認定指定機関→プライバシーマーク指定審査機関
・プライバシーマーク使用許諾証→プライバシーマーク登録証
・プライバシーマーク付与認定番号→プライバシーマーク登録番号
・プライバシーマーク付与認定の審査→プライバシーマーク付与適格性の審査

（３）ロゴの使用について
・「JIS Q 15001:2006準拠」の表記を廃止
・登録番号の右側にある、付与回数を意味する（nn）の表記は任意とする。すなわち省略してもよい。

（４）更新審査に関する時期の変更
・更新申請の期間を現在の「有効期限の3〜4か月前」から「有効期限の4〜8か月前」に変更する（移行期間を設けて、徐々に移行していく）。
・グループ企業が審査を受ける場合、可能な範囲で同時期に審査を受けることができるようになる。

http://privacymark.jp/reference/pdf/pmark_guide101018/Youryo_Kaisei101018.pdf

（私のコメント）
更新申請時期の変更に関しては、事業者側にも影響が出ますね。また、指定機関周りもかなり変わりますので、指定機関の関係者の方はよくご覧になった方がいいと思います。

「JIPDECガイドライン・第2版」について、プライバシーマーク指定機関の一つである（社）コンピュータソフトウェア協会（略称：CSAJ）がその解説セミナーを開催するそうですので、本Blogでもご案内いたします。

主催：（社）コンピュータソフトウェア協会
日時：
【第1回】　平成22年11月18日(木)10:00〜12:00
【第2回】　平成22年12月16日(木)10:00〜12:00
（2回とも同内容）
会場：社団法人コンピュータソフトウェア協会（CSAJ）会議室
〒107-0052 東京都港区赤坂1-9-15 日本自転車会館1号館 5F
講師：社団法人コンピュータソフトウェア協会
プライバシーマーク審査室　主任審査員　村上 正気
対象：会員、一般
参加費：無料
定員：各回40名限定（先着順、事前登録制）

とのことです。

http://www.csaj.jp/seminar/2010/1118_seminar.html

（私のコメント）
講師の村上さんは340件の審査実績を持つ現役の主任審査員ですし、必聴です。今回のセミナーはCSAJの会員ではなくても参加できるようです。すぐにいっぱいになっちゃうような気もしますが、まずは申し込んでみてください。

（財）日本情報処理開発協会（略称：JIPDEC）・プライバシーマーク推進センターは、9月17日付で、書籍として発売済みの「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」（通称：JIPDECガイドライン・第2版）のPDF無償ダウンロード提供を開始しました。

書籍版との違いは、JIS Q 15001:2006の本文の部分が削除されていることです。これは従来通りです。

書籍版の発売時より繰り返していますが、内容的にはPマークで仕事をする人は必ず目を通すべきものであり、今後のPマークの審査において最も重要な文書の一つになります。

http://privacymark.jp/news/2010/0917/index.html

（私のコメント）
今回のJIPDECの情報開示のやり方には疑問が残ります。いきなり書籍版を出して、後日に無償PDF版を出す。事前の説明や予告がありませんでしたので、私などは右往左往して書籍版を購入しました。あまり良い方法とはいえないと思いました。ガイドラインの見直しを実施したことをきちんとJIPDECとして発表し、そして日程を明らかにした上で順次書籍の発売、無償PDF提供と実施するべきだと思います。内容が素晴らしいだけに、残念です。

Pマークの審査基準の一部を構成する「JIPDECガイドライン」が改訂された件を、昨日、速報しましたが、先ほど日本規格協会から書籍が届きました。まだ全ては読めていませんが、全体的に見た内容をご報告いたします。



これがその内容の一部です（これは著作権法に基づく引用です）。

「審査の着眼点」と題して、文書審査と現地審査におけるチェックポイントがかなり詳細に記されています。

これらの内容はこれまで文書化されていなかったので、
・審査員によって言うことが違う。
・コンサルタントが独自の判断で本来は不要な助言をする。
などの混乱が生じていました。今回、それらの内容がかなりのレベルまで文書化されましたので、混乱を収める効果が大きいものと考えます。そういう意味では、とても意義深いと考えます。

しかし、いまだにJIPDECからは正式なアナウンスはないですね。Webサイトにもこのガイドラインの改訂の話は全く出ていません。PDFなどの形式でのダウンロード提供も行われていません。

もしかすると、今後はJISと同じように、このガイドラインもお金を出さないと入手できないようにしたいと考えているのかも知れません。いずれにせよ、JIPDECからの正式なアナウンスを待ちたいと思います。

＜書籍の購入は下記からどうぞ＞

JIS Q 15001:2006 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン［第2版］
財団法人日本情報処理開発協会　プライバシーマーク推進センター　編
http://www.webstore.jsa.or.jp/lib/lib.asp?fn=/jis/jis10_05.htm

Amazonでも買えます。
http://www.amazon.co.jp/dp/4542305376/

※追記＞
記事を書いた後、JIPDECのPマーク事務局にお電話して聞いてみたところ、下記の情報が分かりました。
・このガイドラインは正式なものである。
・当面はPDFなどの形式で無料提供は行わない。
・このガイドラインが出たことで、審査基準が変わるわけではない。
とのことでした。やはりPマークで仕事をしている人は、素直にこの書籍を購入した方がよさそうです。

JIS Q 15001:2006と並んで、プライバシーマークの審査基準の一部を構成しているのが、JIPDECのプライバシーマーク推進センターが発行しているガイドライン（通称：JIPDECガイドライン）です。

現在まで、2006年8月に発行された第1版が有効なものとして流通しており、JIPDECのWebサイトから無料でダウンロードできています。

JIS Q 15001：2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第1版―
財団法人日本情報処理開発協会　プライバシーマーク推進センター　編
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf

JIPDECからの正式な発表はないのですが、
なんと、これが改訂されたらしいのです。
しかも書籍として販売されているのです。

JIS Q 15001:2006 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン［第2版］
財団法人日本情報処理開発協会　プライバシーマーク推進センター　編
http://www.webstore.jsa.or.jp/lib/lib.asp?fn=/jis/jis10_05.htm

Amazonでも販売開始されるようです。
http://www.amazon.co.jp/dp/4542305376/

一方で、Webサイトでの無料公開が行われていないのです。

おそらく、近いうちにWebでのダウンロード提供も行われるものと思いますが、プライバシーマーク関係のお仕事をされている皆様には、有料でもいち早く入手されることをお勧めします。

※未確認情報ですが、重要なので記事として掲載します。続報が入り次第、再度記事にします。

（財）日本情報処理開発協会（略称：JIPDEC）・プライバシーマーク推進センターは、7月12日に、プライバシーマーク制度の公式Webサイト上でこれまで公開してきた「中止事業者」の情報掲載を取りやめると発表しました。

中止事業者とは、「辞退」「合併」「廃業」などの理由によりプライバシーマークを更新せずに権利を放棄した事業者のことですが、従来は公式Webサイトのトップページにおいて中止事業者の総数を掲載し、リンク先のページにおいて認定番号と中止理由を公表していました。今回はこれらの情報公開をすべて取りやめるということのようです。

（私のコメント）
私は「Pマークの取得者数は減っているんですか」「辞退する会社は多いんですか」という質問をよく受けます。そして、従来の中止事業者のリストはよく読めばそのあたりの事情（実際には辞退はそれほど多くはなく、会社合併や廃業などによる中止が多いこと）が分かるはずのものでしたが、多くの方はトップページの総数の表示を見て「Pマークってやめる会社が多いんですね」と受け取られることが多かったようです。なので、今回の掲載取りやめはやむなしと思います。

http://privacymark.jp/