財団法人日本情報処理開発協会(JIPDEC)より、「経済産業分野の事業者における個人情報の保護に関する取組み実態調査2008」の報告書が公開されました。
http://privacymark.jp/news/20080304/index.html
調査は、JIPDECプライバシーマーク推進センターのホームページ上のアンケートによるもので、回答者の約65%がプライバシーマーク認定事業者、もしくは、認定に向けた検討・準備中・申請中事業者であることを前提として読む必用があります。
個人情報保護に関する方針(プライバシーポリシー)を策定し公表しているとする回答者は91.0%となっています。今日、Webサイト上で個人情報保護方針やプライバシーポリシーを宣言することは常識化しつつあります。
個人情報保護の社内規程類の整備して運用しているは、87.9%、個人情報の管理に関する組織体制として、個人情報保護管理者を設置しているは、78.3%となっており、JIPDECプライバシーマーク推進センターのホームページ上のアンケートに答える事業者は、やはり、相応の取り組みを実施しているようです。
個人的にちょっと目に付いたデータは・・・・
(1)保有個人データの開示等の求めがあったかについて、86%が無し、1〜10件以下を含めると約95%となっています。
保有個人データの開示等については、プライバシーマークの認定基準JISQ15001:1999からJISQ15001:2006への移行にあたって「個人情報に関する本人の権利」として強化された項目です。例え1件であっても、また、今無くても、今後の開示要求があった場合の適切な対応のために、手順等を定めておくことは大変良いことではありますが、プライバシーマーク付与認定のための大きな要件となっているのは、申請事業者としては辛いところです。
(2)委託先や取引先を選定する際にプライバシーマークの認定を取引条件に含む、あるいは、重要な考慮事項としているが43%、一定の考慮事項としているを含めると実に79%もあります。
「個人情報=プライバシーマーク」の短絡的な解釈が横行しているようで問題であると感じています。
プライバシーマークは、個人情報の取り扱い全般に関するマネジメントシステムであり、利用目的を定め、収集の際にに通知して同意を得る、また、開示等要求の対して応じる。など多岐に渡り、個人情報の安全管理(セキュリティ)は、その中の一部としてマネジメントすることになります。
個人情報を情報処理する等で委託するとき、受託側では、その個人情報は、プライバシーマークで求められる要求事項の多くは該当しないのです。
「個人情報の処理を委託する」ではなく、「重要な機密上の処理を委託する」と考えて委託先の選定をしてもらいたいものです。
<参考>
ISMSとプライバシーマークの違い・比較 http://www.pangkal.com/isms/index2.html
