行政サービス・サイトをはじめ、ネット・ビジネスを展開する政府関連機関や企業が増大するなかで、「プライバシーマーク」（以下、｢Pマーク｣という）取得事業者は取引先、ユーザおよびプロスペクトにとって安心して取引できる相手先となり得る。

平成14年5月現在、国会で継続審議されている個人情報保護法案が成立した場合には、個人情報の適正な取り扱いが法的に義務づけられることになる。そこで、個人情報保護法案の内容を包含しているPマーク制度について、その概要と取得のための手順、取得経緯を紹介する。

■個人情報保護法案の個人情報取扱い事業者に対する遵守義務基本5原則

(1)　利用目的による制限
(2)　適正な方法による取得
(3)　内容の正確性の確保
(4)　安全保護措置の実施
(5)　透明性の確保

■Pマーク制度

Pマーク制度とは、(財)日本情報処理開発協会（JIPDEC）がPマークの付与機関となり、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すPマークを付与し、事業活動に関してその使用を認める制度である。

■個人情報保護に関する「コンプライアンス・プログラム」の作成指針及び作成手順

Pマークを付与認定される事業者は、「個人情報に関するコンプライアンス・プログラムの要求事項」（JIS Q 15001）に適合したコンプライアンス・プログラム（以下「CP」という）を策定し、実施し、維持し、そして継続的に改善していくことが必要となる。 （CPは実践遵守計画とも言い、JIS Q 15001では、事業者が、自ら保有する個人情報を保護するための方針、組織、計画、実施、監査および見直しを含むマネジメント・システムと定義している）

CPの作成手順は次の通り（出典：日本情報処理開発協会）

(1)　個人情報保護方針を定め文書化する
(2)　策定のための組織を作る
(3)　CP策定の作業計画を立てる
(4)　個人情報保護方針を組織内に周知する
(5)　個人情報を特定する
(6)　既存の個人情報取り扱いシステムを評価する
(7)　CPの構成を検討する
(8)　CPの基本となる規定を作成する
(9)　CPの詳細規定を作成する
(10)　CPを文書化する
(11)　CPに準じた体制の整備を行う
(12)　CPを周知するための研修を実施する
(13)　CPの運用状況を監査する
(14)　CPの改善を実施する

■Pマーク取得申請までの経緯―日本ユニシス情報システム（UIS）を例として―

(1)　「UIS情報セキュリティガイドライン」の作成及び、Pマーク取得目標の盛り込み
(2)　インターネット・サービスを主体に個人の情報保護に関する管理規程の作成およびCP活動を実施
(3)　｢個人情報保護CP策定プロジェクト｣の設立
(4)　社長による個人情報保護方針の宣言及び全社員への周知
(5)　個人情報保護管理体制の設置
(6)　Pマーク付与機関への事前相談
(7)　申請資料の準備、申請

中井　真治（なかい しんじ） 日本ユニシス情報システム 企画管理部

提供：日本ユニシス

	users