たまに「うちの会社はバッチリと個人情報保護法対策」を行っているので申請するだけでプライバシーマークを取得出来ますよね」と相談を受けることがあります。

確かに今のプライバシーマークの要求事項であるJISQ15001:2006は個人情報保護法の影響を受けていますし、プライバシーマーク取得に必要な関連法令には個人情報保護法も含まれてきますが、似て非なるものです。

まず、個人情報保護法では利用目的等については「通知」もしくは「公表」で済みます。これに対してプライバシーマークの規格では直接書面で取得する場合は「同意」、それ以外の手段で取得の場合は「通知」もしくは「公表」と場合分けされ、なおかつ直接書面取得の場合は個人情報保護法より制約が厳しいわけです。

また、プライバシーマーク取得の取り組みにあたっては法律が求めていない、個人情報の特定やリスク分析と言った個人情報を適切に管理するための現状把握や適切に管理するための下準備が必須になってきます。

その他にも様々な点でプライバシーマークの基準の方が厳しかったり、細かく制約がかかっているケースが多いです。

つまり、個人情報保護法対策はあくまで法律に対する対策でしかないので、個人情報保護法に対しての対策だけを十分に行ったとしてもプライバシーマークを取得するための基準を満たすには不十分であること多々あります。

以前、ある企業のプライバシーマークの新規取得のお手伝いをさせてもらった際に、弁護士の方が個人情報保護法対応のために作成されたその企業の個人情報保護方針をプライバシーマークの規格に合うように書き換えたところ、弁護士の方から「待った」がかかったことがあります。
その際にはプライバシーマークの規格に準拠するために手を加えた旨をきちんとご説明し、ご納得いただけましたが個人情報保護法に対応すれば、問題ない。とお考えになられていたようでした。

個人情報保護法対策を取られていて、プライバシーマークを自社取得される場合などはきちんと個人情報保護法と規格であるJISQ15001:2006が違うものであると認識し、違いを突き詰めていかなければ現地審査の際には指摘事項がたくさん出る可能性があるので気をつけてください。