個人情報保護と内部統制

日本における個人情報の保護を促進するための制度に「プライバシーマーク制度」がある。（財）日本情報処理開発協会（JIPDEC）によって創設され、1998年4月1日から運用が開始されている。2006年9月現在、既に5000以上の事業者がプライバシーマークの認定を受けている。プライバシーマークを取得するための基準は、JIS規格の「JIS Q 15001」であり、2006年5月にJIS Q15001：2006として改正された。

一方、個人情報の保護にかかわる法令としては「個人情報保護法」がある。同法は、業種や業務に関わりなく、個人情報の取扱いについて“最低限守るべき義務”を示したものである。JIS Q15001は、個人情報を適切に保護し、管理するための事項を規定したものであり、任意であるが同法よりも厳しい要件を求めている。プライバシーマークを取得するうえでは、JIS Q 15001に準拠しなければならないことから、法令で規定された以上の対応が必要となる。

JIS Q15001には、マネジメントシステムの考えが取り入れられている。マネジメントシステムとは、組織が方針および目標を定め、その目標を達成するためのシステムであり、PDCAモデルが一般に採用されている。これは、個人情報保護について組織対応を求めていることから、事業者としての善管注意義務を果たしていることを明確に示すことのできる個人情報保護マネジメントシステムを構築する必要がある。別な言い方をすれば、重要な内部統制活動のひとつとして整備しなければならない。

プライバシーマークを使用できる有効期間は２年間であるので、継続的に使用するためには、更新を行うことになる。したがって、個人情報の適正な取扱いを続けるとともに、教育や監査、事業者の代表者による見直しなどを継続して行う必要がある。逆にいえば、プライバシーマークを取得し、維持している事業者は、法令で求められている以上のレベルで、個人情報に関わる内部統制を整備し、継続的に運用していると言える。