神奈川県の海老名市立図書館の指定管理者であるカルチュア・コンビニエンス・クラブ(CCC)が2015年11月、プライバシーマーク(Pマーク)を返納した。Pマークとは、その企業や団体が個人情報などを適切に扱っていることを認証する制度で、運営する一般財団法人日本情報経済社会推進協会(東京都港区)によると、「法律の規定を包含するJIS Q 15001:2006に基づいて第三者が客観的に評価する制度であることから、事業者にとっては法律への適合性はもちろんのこと、自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを社会にアピールする有効なツールとして活用」できるという。
しかし、海老名市では、図書館の指定管理者を募集する際に「Pマークの所持」を応募資格としていた。ハフポスト日本版では、PマークについてCCCに質問、その回答を全文掲載する。
【質問1】Pマークの更新を行わなかった理由について
貴社は、T会員規約の2014年11月1日改訂において、第4条「個人情報について」の「個人情報のセキュリティ」を、「[略]これらの個人情報は漏洩、減失、毀損などのリスクに対して、経済産業省が告示した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインに準拠し、技術面および組織面において合理的かつ厳正な安全対策を講じます。(2013年10月1日改訂版第4条8項)」から、「[略]これらの個人情報は漏洩、減失、毀損等のリスクに対して、経済産業省が告示した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」はもとより、「プライバシーマーク」の要求事項や「情報セキュリティマネジメントシステム(ISMS)」の基準を取り入れ、技術面および組織面において合理的かつ厳正な安全対策を講じます。(2014年11月1日改訂版第4条10項)」と変更しています。
更に、2015年5月8日改訂版には、上記2014年11月改訂版の文言は変更されていないのに加え、第4条2項(15)において、取得段階では個人情報保護法に加えて、JIS Q 15001を遵守する旨の記述が追加されています。こうした「十分なセキュリティレベル」を謳っているにも関わらず、9月12日以降、Pマークの更新を行わなかったということは、次のいずれかの理由によるものと考えられます。
A. 2014年11月以降の貴社内規準に従う限り満たすことができない要求項目がある。
B. 2014年11月以降の貴社内規準に従ってもPマーク要求項目を満たすが、別の理由で更新を行わなかった。
いずれに該当するでしょうか。
【質問2-A】 (質問1の回答がA.の場合)
その満たすことのできない要求項目は何でしょうか。JIS Q15001または認証機関ガイドラインの項目でお教えください。
【質問2-B】(質問1の回答がB.の場合)
2.の場合は、更新が可能にも関わらずPマークの更新を行わなかった、理由をお教えください。
【回答1】
Bに該当します。
【回答2】
まず事実と致しまして、3回目の更新(2014年2月8日~2016年2月7日期間)を2015年5月に実施しましたので、ご指摘の「9月12日以降、Pマークの更新を行わなかった」という点は事実とは異なります。(2014年2月~更新日の2015年5月までは審査期間としてプライバシーマークの有効性は担保されています)。従いまして、プライマシーマークの有効期間は切れ目がなく2016年2月7日までであり、有効期間中である2015年11月16日付けで、プライバシーマークを(自主的に)返納致しました。今後は、2016年1月に設置予定である、現行の主務大臣の権限を集約した「個人情報保護委員会」による一元的な監督の下、パーソナルデータの利活用を実施する方針のため、プライバシーマークを返納いたしました。
【質問3】 ISMS認証について
ネットでは一部ユーザーから、貴社はISMS認証を2015年11月20日時点で取得していないのでは、という指摘がなされております。その指摘は正しいでしょうか。
【質問4】 質問3の指摘が正しいとするならば、先の質問と同様に、
A. 貴社内規準に従う限り満たすことのできないISMS要求項目がある。
B. 貴社内規準に従ってもISMS認証を取得できるが、別の理由で取得していない。
のいずれかの理由によるものと考えておりますが、いずれでしょうか。
【質問5-A】 (Q.4の回答がA.の場合)
貴社内規準に従う限り満たすことのできない要求項目は何でしょうか。JIS Q27001の項目でお答えいただければ幸いです。
【質問5-B】 (Q.4の回答がB.の場合)
「別の理由」をお教えください。
【回答3】【回答4】【回答5】
まず事実としまして、弊社はこれまでにISMSを取得したことはございません。その意味におきまして、ご質問の「2015年11月20日時点でISMSを取得していないのでは」の点は事実ですが、取得しようとしてできなかったという意味とは異なります。ISMS取得をしていないことに意図性があるわけではなく、1月1日に組成される個人情報保護委員会の動向も注視しながら、事業特性やサービス内容等の必要に応じて、検討してまいります。
【質問6】 貴社が取得、または保有する会員の個人情報の項目について
2015年12月1日改訂において、第4条2項「個人情報の項目」(15)「その他個人情報保護法及びJIS Q15001を遵守した上で、当社が適切に取得する個人情報」から「その他個人情報保護法を遵守した上で、当社が取得するあらゆる個人情報」へと変更されています。2015年12月1日以降、貴社はJIS Q15001を遵守するとは限らない、という理解でよろしいでしょうか。
【回答6】
2015年12月1日以降、弊社におけるデータの取扱いが直ちに変わるわけではありませんので、日本工業規格のJISQ15001(個人情報保護マネジメントシステム ― 要求事項)の基準を欠くものではありません。ただし、2016年1月の個人情報保護委員会の設立に併せて、当該委員会が設ける基準に一元的に準拠するよう移行させてまいります。
【質問7】 「個人情報のセキュリティ」規準の際の参照先変更について
2015年12月1日改訂において、改めて第4条10項「個人情報のセキュリティについて」が変更され、2014年11月14日改訂版にて追加された『「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」はもとより、「プライバシーマーク」の要求事項や「情報セキュリティマネジメントシステム(ISMS)」の基準を取り入れ』の文言が削除されています。その意図をお答えください。
【質問8】 「個人情報のセキュリティ」の変更履歴について
貴社の個人情報のセキュリティに関する規約を2013年10月1日改訂版以降を総合すると、
経産分野ガイドライン「準拠」→ 経産分野ガイドラインはもとより、Pマーク、ISMSを「取り入れ」た独自基準を採用→ 経産分野ガイドライン、Pマーク、ISMSを「取り入れ」ない、貴社独自の規準を採用
という流れになるかと思います。こうした変更は、消費者からは規準を緩めているように見え、消費者の貴社への懸念が高まるのでは考えております。そうした懸念に対して、貴社はどう対応されるお考えでしょうか。
【回答7】【回答8】
ご指摘の通り規約文言上は削除しておりますが、弊社ホームページの「お知らせ」にも明記している通り、今後も、日本工業規格のJISQ15001(個人情報保護マネジメントシステム ― 要求事項)や JISQ27001 (情報セキュリティマネジメントシステム)などのセキュリティ基準を参考に独自の自社基準を策定し、時代の変化や急速に発展するIT技術に対応できるセキュリティ環境をつくってまいります。よって、このセキュリティ基準の変更により、従来よりもセキュリティ基準が緩和されることはございません。
【質問9】貴社内規準の十分性の担保について
2015年12月1日改訂版の「お知らせ」のページには上記の改訂は「基準の緩和を意図したものではなく、従来のセキュリティレベルは維持・継続するとともに、より強固な環境にするよう努めます」とあります。では、その貴社内のセキュリティレベルが「客観的に見て十分」であることは、どのように担保されるのでしょうか。企業・自治体などの「ビジネスパートナー」へ担保する場合と、消費者へ担保する場合とで分けてお答えください。
【回答9】
現在も経済産業省の監督下のもと個人情報の取り扱いは厳重に管理しております。また、1月1日からは、設立される個人情報保護員会の監督下のもと、引続き個人情報を安全に取り扱う事に変わりはありません。その上で、セキュリティレベルの維持については、アライアンス企業様等の合理的な範囲内での監査を受けること等も含め検討しております。
【質問10】 海老名市立図書館の指定管理者について
海老名市では海老名市立図書館の指定管理者を募集する際、「管理運営業務を担当する事業者が、プライバシーマーク使用許諾又はそれに類する個人情報保護に関する資格を所持していること」という要件を挙げております。今回、Pマークの更新を行わないことによって、貴社の場合は「それに類する個人情報保護に関する資格」をお持ちになっていることが期待されますが、何をもってその資格と考えていらっしゃるか、お教えください。
【回答10】
海老名市立図書館に関しましては、指定管理業者募集要項にはご指摘の要項がございましたが、協定書には、協定期間中のプライバシーマーク等の資格保持義務は定められておりません、むしろ個人情報保護法、海老名市の各種条例、協定書、そして個人情報保護委員会が定める各種基準に準拠し、パーソナルデータの保護等を行っていきたいと考えております。