プライバシーマークとは?
写真:コンサルタントの岩原秀雄先生とソノリテスタッフにて
プライバシーマーク、通称Pマークをご存知ですか?
プライバシーマーク制度とは、簡単にいうと個人情報保護の取扱いを適切に行っている事業者にプライバシーマークの付与を行う制度です。
※Pマークを付与されるには、日本産業規格JIS Q15001に適合した 個人情報保護のマネジメントシステムを構築して体制を整備し、第三者の立場で客観的に評価されることが求められます。詳しくはこちらから
寄付を集める団体は寄付者の個人情報を受け取り、お礼状や領収書を送ります。お電話で個人情報を聞き取ることもあります。一人の方のお名前やご住所を扱うことは割と日常的にあるのではないでしょうか。さらに、総会の案内やイベントの案内、DMなどを送るとなると、名簿を加工して印刷することもありますし、その数も500件とか1000件とか、場合によってはもっと多くの個人情報を扱うことも少なくはないと思います。
ソノリテでは、件数の多少に関わらず、寄付者の個人情報を扱うNPOなどの募金団体こそ、個人情報を適切に管理して社会的に信頼性を高める必要があると考えてきました。Bokinchan のようなオンライン決済システムで受け付けている寄付者の名前や住所等はもちろん、受け付けた後にデータベースで管理する名簿情報などもすべて個人情報です。多くの方の善意のご寄付によって知り得た個人情報を、漏洩したり粗末に扱うことはあってはならないと思うからです。
そんな考えのもと、私たちソノリテもPマークの取得を決意し、今回で3回目の更新が先日終わり、無事、認証マークを受理しました。
Pマークの認証を受けるには、個人情報にまつわる様々な管理方法がルール化できていて、リスクについて十分に分析把握し、それらが運用に落としこまれているかどうかの審査を受けなければなりません。それらを経て初めて、この法人(組織)は個人情報をちゃんと扱っています、と認められます。また、審査や実際のPマークを付与してもらうためには費用がかかります。しかし、何よりもたいへんなのは認証をしてもらうための準備に多くの時間がかかることです。さまざまな規約や規程の整備、役職員の研修、契約書などの書類作成、運用ルールの作成と運用など、やらなければならないことがたくさんあります。
それでもなお私は、Pマークの取得に向けて個人情報の取扱いに関するPDCA、つまり P(計画)、D(実行)、C(審査)、A(対策改善)を回すことは、認証を取得する以上に価値があることだと考えています。
みなさんもPマークは必要か?と問われるような場面があるかもしれません。必要なのは、単なる認証を取るという行為ではなく、寄付者を含むすべての方の個人情報を安全に間違いなく管理していくことです。
プライバシーマークを取得するために、外部のコンサルタントに依頼する企業も多いと思います。ソノリテでは、最初にプライバシーマークの申請を行う際にご相談し、ご指導いただいた玉置彰宏様と、その後継を受けていただいた岩原秀雄様にご支援いただきました。お二人とも、プライバシーマークの認証制度がスタートした当初から審査員をなさっていた経歴のある方たちです。ソノリテの業務に即した丁寧なご指導に加え、何よりもありがたいのは、コンサルタントの方へ費用をお支払いして審査書類を作っていただくというやり方ではなく、また費用をかけて物理的に制御すること(たとえば入退室のログ管理をするシステムを導入するなど)が大事なのではなく、ソノリテのスタッフが個人情報について理解し、自分たちで管理運用できるように、と根気強くご指導いただけたことです。
審査機関のひとつであるJUAS(一般社団法人日本情報システムユーザー協会)も、個人情報に関する研修や情報提供など、親切にサポートしていただけます。
このような方たちのサポートを得て、ソノリテではスタッフ一人ひとりが制度を学び、自信をもって仕事に取り組めるよう、毎月運用を点検するフォームに入力して振り返りをしたり、プライバシーマーク担当者事務局会議を開いてアドバイザーの中原美香さんにご指導をお願いするなど、自分たちで運用できるPマークの管理を構築している途上です。
NPOのみなさん、あるいは個人情報を扱っているみなさん、ソノリテでは「Pマークの認証は絶対必要だ」「そのためにコンサルします」というつもりはありません。
ただ、ISO15001のルールに沿って個人情報をしっかり管理する運用フローは、ソノリテもお手伝いできると思います。ご関心があればお気軽にお問合せください。
▼ プライバシーマーク制度について 詳細は こちら
▼ ソノリテのオンライン募金システム Bokinchan の詳細は こちら
▼ ソノリテへ ご相談・お問い合わせは こちら