こんにちは。
今回は、TRUSTeマークと個人情報保護法の関係についてお話しします。
個人情報保護法について
TRUSTeマークは、Webサイトから取得する個人情報を保護することを証明するマークです。
では、TRUSTeマーク認証を取得するため、実際のルールを構築・運用していくとき、何らかの規格のようなものはあるのかというと、実はそうではありません。
つまり、基準がないので、何を満たせばTRUSTeマークを取得できるのかということが良く分かりませんでした。
そこで、TRUSTeマークの認証基準を定めることとなりました。その認証基準が個人情報保護法です。
個人情報保護法自体は、2005年に施行されましたが、1997年に当時の通商産業省(現在の経済産業省)は、個人情報保護法施行以前に「個人情報保護に関するガイドライン」というものの運用をしていました。文字通り、個人情報保護に関するルールが記載されたいものでしたが、このガイドラインを基に出来上がったのが個人情報保護法となります。
個人情報保護法が施行されて10年以上経過しますが、昨年には個人情報保護法が改正され、より個人情報の保護について、活発な動きを見せていることが分かります。改正法の施行も間近と噂されていますね。
個人情報保護法とTRUSTeマークの関係
TRUSTeマークの認証基準は、個人情報保護法を基にしているとはいうものの、では実際どんな基準が設けられているのかが重要です。
TRUSTeマーク取得の基準が記載されている資料として、「自己査定書」という資料があります。
もちろん、「自己査定書」を作成した機関があります。それが、日本国内唯一のTRUSTeマーク認証付与機関である、日本プライバシー認証機構です。機構の詳細はこちらをご覧ください。
上記ページから、TRUSTeマークのパンフレットをダウンロードできます。そのパンフレット内に明確に、「ユーザーが求めるコンプライアンスは法律の基準より高いため、TRUSTeマークはユーザーのプライバシー保護を目的としている」と記載があります。
この一文から、TRUSTeマークの認証基準は、個人情報保護法が求めるレベルよりも高いことが分かります。
では、先ほど挙げた「自己査定書」ですが、もしかしたらちょっとお堅い資料なのかと感じるかもしれません。簡単に言いますと、「自己査定書」は、「質問票」です。
自己査定書の内容を少し加工し、例を挙げます。
- どのような個人情報がWebサイトから収集されますか?(連絡先、金融/請求情報、健康情報、年齢・学歴など。)
- 情報セキュリティ対策として、ウイルス対策や不正アクセスを検知するような仕組みを整備していますか?
- 個人情報の重要性をどのくらいの頻度でどのように従業員に周知徹底していますか?
など、TRUSTeマークを取得する者に対して、個人情報保護への取り組み状況、従業員への教育といったあらゆる観点から質問を投げかけてきます。
聞かれたことに対して、適切に答え対外へ宣言しているような捉え方をされるため、「自己査定書」と名づけられました。
質問内容の一例から分かるように、社内のセキュリティ体制の構築・見直しについて、幅広く役に立つのがTRUSTeマークです。
TRUSTeマーク取得コンサルティングにおいては、この「自己査定書」の作成がメインとなります。
じっくりと時間をかけて、個人情報保護の体制を固めていきましょう。
それでは。
![無料相談ダイヤル:[tel_free_consul]](https://www.lrm.jp/privacy-mark/blog/wp-content/themes/blog/images/f_tel.png){kind=small}