教学相長：ＩＳＭＳ／情報セキュリティ

　プライバシーマークは、”個人情報の取り扱い”全般のマネジメントシステムです。
　”個人情報の取り扱い”とは、個人情報の利用の意思決定から、利用目的の設定、個人情報の取得、本人からの開示・訂正等の対応、個人情報に関する苦情処理など多岐に渡ります。
　個人情報の管理・保管、廃棄などのいわゆる情報セキュリティに関する部分も当然に含まれますが、全体プロセスの一部なのです。

　Ａ社が委託元から預る個人情報に関しては、Ａ社が利用目的の定めたり、取得する事も無く、本人からの開示等の対応、苦情対応も必要ありません。
　情報漏洩等を起さないための情報セキュリティ対策をしっかりと講じることが必要なのです。

　しかし、社内で扱う個人情報は、委託元から預る個人情報のみではなく、従業員の個人情報もあります。
　全ての個人情報が対象となるプライバシーマークにおいては、従業員個人情報についても規格の要求事項に基づき、適切に取り扱わなければなりません。
　そのため、個人情報の利用目的を定め、取得時には書面にて通知し、また、書面にて同意を得る。処理を委託するなどの場合は選定基準を定めて選定する。本人からの開示や訂正要求に対して本人確認した上で処置に応じる。など、個人情報の取り扱いに関する一連の手順の大部分は従業員の個人情報のみを対象としたものになります。
　審査もまた、従業員個人情報の取り扱い部分を対象とせざるを得ません。

　しかして、Ａ社のような情報処理会社におけるプライバシーマークは「従業員個人情報保護マネジメントシステム」になってしまうのです。