プライバシーマーク制度について
【制度の概要】
プライバシーマーク制度は、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。
【制度の目的】
個人情報の保護に関して国の行政機関においては、「行政機関が保有する電子計算機処理に係る個人情報の保護に関する法律」(昭和63年12月法律第95号)が制定されてきましたが、平成15年5月30日に改正(平成15年法律第58号)されました。
一方、民間部門における個人情報の取扱いに関しては、インターネットをはじめとしたネットワーク技術や情報処理技術の進展により、個人情報がネットワーク上でやり取りされコンピュータで大量に処理されている現状において、個人情報保護が強く求められるようになってきました。
そのため、早期に実施が可能であり実効性のある個人情報の保護のための方策の実施が求められてきたところから、財団法人日本情報処理開発協会(現、一般財団法人日本情報経済社会推進協会)では通商産業省(現、経済産業省)の指導を受けて、プライバシーマーク制度を創設して平成10年4月1日より運用を開始しました。
プライバシーマーク制度は、事業者が個人情報の取扱いを適切に行う体制等を整備していることを認定し、その証として“プライバシーマーク”の使用を認める制度で、次の目的を持っています。
- 消費者の目に見えるプライバシーマークで示すことによって、個人情報の保護に関する消費者の意識の向上を図ること
適切な個人情報の取扱いを推進することによって、消費者の個人情報の保護意識の高まりにこたえ、社会的な信用を得るためのインセンティブを事業者に与えること
- その後、平成15年5月30日に民間の事業者を対象とする「個人情報の保護に関する法律」(平成15年法律第57号)が制定・公布され、平成17年4月1日から全面的に施行されました。個人情報を取扱う事業者は、この法律に適合することが求められます。
プライバシーマークの付与は、法律の規定を包含するJIS Q 15001に基づいて第三者が客観的に評価する制度であることから、事業者にとっては法律への適合性はもちろんのこと、自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることをアピールする有効なツールとして活用することができます。
審査・付与のしくみ
KPJC(九州プライバシーマーク審査センター)では、以下の体制でプライバシーマーク制度が運営されます。
付与の対象
プライバシーマーク付与の対象は、国内に活動拠点を持つ事業者です。また、プライバシーマーク付与は、法人単位となります。九州プライバシーマーク審査センターの対象としては、九州・沖縄圏内に活動拠点を持つ事業者となります。
その上、少なくとも次の条件を満たしている事業者であって、実際の事業活動の場で個人情報の保護を推進している必要があります。
- JIS Q 15001「個人情報保護マネジメントシステム―要求事項(注1)」(平成18年5月20日改正)に準拠した個人情報保護マネジメントシステム―要求事項(以下「PMS」(※)という。)を定めていること。
※PMS:Personal information protection Management System
- PMSに基づき実施可能な体制が整備されており、且つ、個人情報の適切な取扱いが実施されていること。
- 「プライバシーマーク制度における欠格事項及び判断基準(PMK510)」(JIPDEC)に定める次の欠格事項のいずれかに該当しない事業者であること。
- 申請の日前3か月以内にプライバシーマーク付与適格性審査の申請又は再審査の請求についてプライバシーマーク付与を否とする決定を受けた事業者
- 申請の日前1年以内にプライバシーマーク付与の取消し又はプライバシーマーク付与契約の解除を受けた事業者
- 個人情報の取扱いにおいて発生した個人情報の外部への漏えいその他本人の権利利益の侵害により、申請を不可とする期間を経過していない事業者
- 役員(法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を含む。)のうちに、次のいずれかに該当する者がある事業者
- 禁錮以上の刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から2年を経過しない者
- 個人情報の保護に関する法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から2年を経過しない者
- 適格条件を満たさないインターネット異性紹介事業者(詳細は上記基準(PMK510)を参照のこと。)
なお、上記の3.に該当するか否かについては、事業者自身による申請書での宣誓と、現地審査時に確認します。
有効期間
プライバシーマーク付与の有効期間は、2年間です。ただし、以降は、2年ごとに更新を行うことができます。なお、更新申請は、有効期間の終了する8ヶ月前から4ヶ月前までの間に行わなければなりません。
プライバシーマーク付与に係る費用について
(1)申請料
プライバシーマーク付与適格性審査の申請時に必要です。審査の結果に係わらず必要です。九州プライバシーマーク審査センターからの請求に基づき、お振込みください。なお、申請料の振込みを確認したうえで、審査手続きを開始いたします。プライバシーマーク付与の認定の可否にかかわらず必要です。
(2)審査料
プライバシーマーク付与適格性審査の審査料は、審査チーム(原則2名)が実施する次の審査工程全てに要する工数に該当する費用として設定しています。
- 文書審査:審査チームが個人情報保護マネジメントシステム(PMS)文書のJISQ15001への適合性をチェックして評価する。
- 現地審査:審査チームが、現地審査の計画を立てる等の準備を行い、実際に申請事業者の個人情報の取扱い現場において、運用の記録を確認するなどによってPMS文書に適合した個人情報の取扱いがなされていることを評価する。現地審査に要する標準時間の目安は、5時間から8時間である。ただし、事業所が分散している事業者、取扱う個人情報の種類が多い事業者等の場合には標準時間を超えることがあるので、事前に協議して現地審査時間と現地審査料を決定する。
- 改善内容の確認審査:文書審査、現地審査によって不具合が発見された場合、審査チームは不具合の改善を指摘し、その改善結果の報告を受けて改善内容が適正であるかを評価する。
- 審査報告:審査チームは、審査結果を報告書に取りまとめて付与適格決定の可否を決定する審査会に報告する。
プライバシーマークの付与適格性審査を受けようとする全ての申請事業者は、審査の結果にかかわらず審査料が必要です。また、上記以外に、現地審査に係る交通費、宿泊費は、(財)くまもとテクノ産業財団の規程により別途請求します。
(3)付与登録料
プライバシーマーク付与適格決定を受けたら、一般財団法人日本情報経済社会推進協会からの請求に基づき、付与の有効期間(2年間)の付与登録料として一括して納めてください。
(4)再現地審査
現地審査後に、事業又は体制の著しい変更等が生じた場合は、必要に応じて現地審査を再度実施し、所定の調査費用を請求します。
事業者規模の区分
事業者規模の区分(小規模、中規模、大規模)は、
- 登記された資本金の額又は出資の総額
- 従業者数
- 業種
を基準として一律に判定します。
資本金の額又は出資の総額が登記されていない無限責任の事業者(合名会社、合資会社等)の場合は、従業者数と業種のみで判定します。同様に、資本金の額又は出資の総額が登記されていない社団法人や財団法人等も、従業者と業種のみで判定します。
@資本金の額又は出資の総額の登記がある事業者
株式会社(特例有限会社含む)、合同会社、事業協同組合など、資本金の額又は出資の総額が登記されている事業者は、以下の規模分類に従います。
業種分類 |
資本金の額又は出資の総額従業者数 |
小規模 |
中規模 |
大規模 |
| 製造業・その他 |
資本金の額又は出資の総額 |
2〜20人 |
|
|
従業者数 |
| 卸売業 |
資本金の額又は出資の総額 |
2〜5人 |
1億円以下
又は
6〜100人 |
1億円超
かつ
100人〜 |
従業者数 |
| 小売業 |
資本金の額又は出資の総額 |
2〜5人 |
5千万円以下
又は
6〜50人 |
|
従業者数 |
| サービス業 |
資本金の額又は出資の総額 |
2〜5人 |
5千万円以下
又は
6〜100人 |
5千万円超
かつ
100人〜 |
従業者数 |
(例)「製造業・その他」に分類される事業者が
- 資本金4億円で従業者数200人の場合 ⇒ 中規模
- 資本金2億円で従業者数400人の場合 ⇒ 中規模
- 資本金4億円で従業者数 10人の場合 ⇒ 小規模
A資本金の額又は出資の総額の登記がない事業者
一般社団法人、一般財団法人、公益社団法人、公益財団法人、特定非営利活動法人、学校法人、社会福祉法人、弁護士法人などの「士」業法人、合名会社、合資会社、民法上の組合、個人事業主など、資本金の額又は出資の総額が登記されていない事業者は、以下のように従業者数と業種のみで判断します。
| 業種分類 |
従業者数 |
小規模 |
中規模 |
大規模 |
| 製造業・その他 |
2〜20人 |
21〜300人 |
301人〜 |
| 卸売業 |
2〜5人 |
6〜100人 |
101人〜 |
| 小売業 |
2〜5人 |
6〜50人 |
51人〜 |
| サービス業 |
2〜5人 |
6〜100人 |
101人〜 |
注意
- 資本金の額又は出資の総額の区切り及び従業者数の区切りは中小企業基本法に基づいています。
従業者数は、JIS Q 15001及び「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(経済産業省)でいう「従業者」の数であり(「従業者」については下記 3. を参照。)、中小企業基本法でいう「従業員」とは異なります。
- 業種分類は、「平成5年版日本標準産業分類 (総務庁)」に基づいています。
このように、この規模分類は、各種基準を組み合わせたプライバシーマーク制度独自の分類です。
「製造業・その他」の業種には、卸売業、小売業(飲食店を含む)及びサービス業を除くすべての業種が含まれます。製造業の他に、例えば、鉱業、建設業、電気・ガス・熱供給・水道業、運輸・通信業、金融・保険業、不動産業などの業種もこの分類に含まれます。
- 従業者とは、JIS Q 15001及び「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(経済産業省)に基づき、申請事業者の組織内で直接間接に事業者の指揮監督を受けて業務に従事している者をいい、雇用関係にある者(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)だけでなく、取締役、執行役、理事、監査役、監事、派遣社員等も含みます。なお、役員は常勤/非常勤にかかわらず登記簿記載の全員が対象となります。
- 従業者数の確定は、現地審査時点での人数で行います。
- 一般労働者派遣事業者の場合、派遣している実働スタッフも従業者に該当します(個人情報保護マネジメントシステムの適用対象です)が、事業者の規模の判定においては、従業者の数に含めません。
プライバシーマーク制度では、同一人が個人情報保護管理者と個人情報保護監査責任者を兼務することを認めていないため、従業者(上記 3. のとおり従業者には役員を含む。)が一人しかいない事業者の場合は、プライバシーマーク付与の対象となりません。
料金表
(単位:万円(消費税込))
|
新規のとき |
更新のとき |
事業者規模 |
小規模 |
中規模 |
大規模 |
小規模 |
中規模 |
大規模 |
申 請 料 |
5 |
5 |
5 |
5 |
5 |
5 |
審 査 料 |
20 |
45 |
95 |
12 |
30 |
65 |
マーク使用料 |
5 |
10 |
20 |
5 |
10 |
20 |
計 |
30 |
60 |
120 |
22 |
45 |
90 |
■審査時間
|
小規模 |
中規模 |
大規模 |
新規 |
更新 |
新規 |
更新 |
新規 |
更新 |
現地審査時間 |
5時間以内 |
5時間以内 |
6時間以内 |
6時間以内 |
8時間以内 |
8時間以内 |
■再現地審査
現地審査後に、事業又は体制の著しい変更等が生じた場合は、必要に応じて現地審査を再度実施し、以下の料金表に基づき費用を請求します。
(単位:万円(消費税込))
費目 |
料金 |
基 本 料 金 |
5 |
審 査 実 費 |
(1人時単価)×(実際にかかった時間)×(審査人数) |
計 |
5+2×(実際にかかった時間)×(1〜2人) |
|(財)くまもとテクノ産業財団 プライバシーポリシー|ページトップへ|
|
